米国の複数大学がランサムウェア「cl0p」の被害に

ウィークリー・サイバーダイジェストについて

マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。

以下、翻訳です。

2021年4月1日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクトのトレンド

このテーブルでは、ここ１週間において、脆弱性との関連でオープンソースおよびダークウェブ上で普段より多く言及されたプロダクトを示しています。

データ流出

今週報告されたデータ流出の一部を示しています。

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Apollo

サイバーニュースによると、ある脅威アクターが、このセールス＆マーケティング会社から盗んだとする1,093万件の記録を宣伝しているとのこと。広告主は、フランスのユーザーに属するこのデータに名前、電話番号、職場の情報などが含まれていると主張している。

オールトン市

イリノイ州のこの都市は、2021年3月5日、ブラント・ウォーカー市長が「データインシデント」と表現したものによる影響を受けたことを公表した。情報筋はDataBreaches[.]netに対し、このインシデントが社会保障番号に影響を与えるランサムウェア攻撃だったと伝えている。

PDI Group

この軍事機器メーカーが、ランサムウェア「Babuk Locker」に感染した模様だ。攻撃者は、700GB以上のデータを流出させたと主張している。このグループは、同社の350以上の顧客の発注書を示しているとされるスクリーンショットを投稿した。流出したデータには、クレジットカード情報も含まれている。

Lexington Medical Center(LMC)

2010年半ばから2011年半ばまでのLMCの患者情報（氏名、住所、連絡先、社会保障番号など）を含むバックアップファイルが保存された、Healthgrades Operating Company Inc.のアーカイブサーバーに、権限のない個人がアクセスした。

ブロワード郡の公立学校

ブロワード郡は、2021年3月に同学区に対するランサムウェア攻撃を確認した。攻撃者は、生徒や従業員の個人情報、財務情報など、同学区の1TBのファイルを流出させたとしている。

Personal Touch Holding Corp

米国の複数医療機関の親会社である同社が、2021年1月27日に詳細不明のデータ侵害を発見した。影響を受けた情報には、患者や会員の氏名、住所、電話番号、社会保障番号のほか、財務情報や医療情報などが含まれる可能性があるという。

Jefit

セキュリティバグにより、2020年9月20日以前に登録した個人に影響する顧客データが流出した。このインシデントの結果、ユーザー名、メールアドレス、ハッシュ化およびサルート化されたパスワード、およびユーザーのIPアドレスが漏洩した可能性がある。

米国の複数大学

ランサムウェア「Cl0p」のオペレーターがイェシーバー大、スタンフォード大、メリーランド大、マイアミ大、コロラド大、カリフォルニア大など、米国の6つの大学からデータを盗んだと主張していることを、Seguranca Informaticaの研究者が報告した。同グループは2021年3月20日、盗んだデータの証拠として、いくつかのファイルを流出させた。流出した記録は、パスポートや税務書類のスクリーンショットを含んでおり、氏名、写真、生年月日、自宅住所、パスポート番号、社会保障番号などの慎重に扱うべき個人情報を流出させた。

ユビキティ

あるセキュリティ専門家がKrebsOnSecurityに伝えたところによると、同社が2021年1月11日に公開した情報漏洩は、報道されているよりもはるかに広範囲に及んでいたとのことだ。攻撃者は、すべてのS3データバケット、すべてのデータベース、すべてのユーザーデータベースの認証情報、すべてのアプリケーションログなどにアクセスしていたとされている。

アリナ・ヘルス

ミネソタ州にあるApple Valley Clinicの運営者は、そのITプロバイダーであるNetgain Technology社への侵入により被害を受けた。この事件では、同クリニックの患者の氏名、生年月日、社会保障番号、銀行情報、医療情報が流出した。（157,939）

DeKalb County School District

2019年12月のPCS Revenue Control Systems Incへの侵害があり、これより学生の氏名、学生証番号、生年月日が不正なアクセスにより危険にさらされる可能性があった。

New York Foundling

CyberNewsの研究者は、児童福祉機関のものと思われる、一般アクセスが可能なMicrosoft Azure Blobを発見した。流出したデータには、従業員情報、患者の名前、生年月日、電話番号、住所、社会保障番号などが含まれていた。

英国

SalusCare

同社は、2021年3月15日の週に、フィッシング詐欺の結果としてデータベースにアクセスされた可能性が高いと述べている。その後、ウクライナを拠点とする攻撃者が、最大で85,688個のファイルを含むデータベースをダウンロードした。影響を受ける可能性のあるファイルは、社会保障番号やクレジットカード番号など、患者や従業員のデータに関するものとしている。

The Harris Federation

同連盟は、2021年3月27日にサイバー攻撃があったことを認識したことを明らかにした。このランサムウェア事件により、同校は電子メールシステム、電話システム、生徒に支給しているデバイスを使用不能にした。

カナダ

Faxinating Solutions

Faxinatingの電子データインターチェンジプロバイダーである同社は、2021年3月3日に発見された「Conti」ランサムウェアの攻撃を受けた。ランサムウェアのオペレーターは、同社から盗んだ15個のファイルを自身のサイトに流出させた。

NorQuest College

同大学は、従業員の1人が犯したミスによるデータ漏洩の被害に遭った。被害を受けたデータには、約5,000人分の社会保険番号と、約11,000人分の学生の氏名、自宅住所、学習情報が含まれている。（11,000）

インド

MobiKwik

ある脅威アクターは、同社から持ち出した8TBのデータと称するものを宣伝した。データには、350万人分の顧客確認情報、9,900万件以上の電話番号、Eメール、ハッシュ化されたパスワード、住所のほか、銀行口座やカード情報が含まれる。このハッカーはその後、盗んだデータ全てを同社のサーバーから削除したと主張した。（3,500,000）

Maharashtra Industrial Development Corporation

2021年3月21日、同社のサーバーがランサムウェア攻撃の標的となった。Hindustan Timesによると、攻撃者は被害者にメールで連絡を取り、50億インドルピー（約7,000万円）の代償金を要求したとされています。

ECUワールドワイド

「Mount Locker」ランサムウェアのオペレーターは、2021年2月に行われた海運会社に対する攻撃で2TB分のデータを盗んだと主張した。攻撃者は、盗まれたとされるデータを公開すると脅迫した。

ニュージーランド

Canterbury District Health Board

同委員会は、ソフトウェアのコーディングミスにより個人情報が流出したことを謝罪している。これには、氏名、性別、年齢、NHI番号などが含まれているという。（716）

スコットランド

Alba

The Herald on Sunday紙は、新政党のウェブサイトに、個人情報が流出する欠陥があることを明らかにした。登録したユーザーのIDを列挙すると、他のユーザーの名前が明らかになってしまうという。（4,325）

トルコ

Yemeksepeti

オンラインフードデリバリーチェーンがサイバー攻撃の対象となり、顧客の氏名、生年月日、電話番号、電子メールアドレス、住所、ハッシュ化されたパスワードなどが漏洩したと報じられている。

オランダ

Royal Dutch Shell

ランサムウェア「Clop」の運営者が、同社から盗んだとする従業員データの一部を流出させ始めた。流出したファイルには、従業員の米国ビザをパスポートのページと並べてスキャンしたものや、同社の米国およびハンガリーのオフィスのファイルが含まれる。

シンガポール

Vhive

2021年3月23日、家具小売チェーン店がサイバー攻撃の標的となった。脅威アクター「ALTDOS」は、名前、住所、電話番号を含む30万件以上の顧客記録を盗んだと主張している。さらに、取引記録や支払い記録などの他の種類の文書も盗まれた。

ナイジェリア

Citygate Global

セキュリティ研究者のJeremiah Fowlerは、マイクロファイナンス銀行が同社の「Monéé」アプリに関連するデータを公開していたことを発見した。公開されたデータベースには、顧客名、口座データ、パスワード、プレーンテキストのクレジットカードデータなど、27万1,000件の記録が含まれていた。

イタリア

Boggi Milano

イタリアの紳士服企業Boggi Milanoが、「Ragnarok」ランサムウェア攻撃の標的となった。攻撃者は、給与情報の入った人事関連ファイルを含む、約40GB分のデータを盗んだと主張している。この盗難は、Bloomberg社の知る情報筋によって確認された。

中国

上海公安局

ABCニュースは、2020年に漏洩した同局に帰属するデータベースを確認した。このデータベースには、要注意人物のウォッチリスト、情報提供者のレポート、移民データ、ウイグル族への尋問記録、5,000人以上の外国人のパスポート詳細と写真などが含まれているという。（25,000）

その他

Carding Mafia

このクレジットカードのハッキング・取引フォーラムがハッキングされ、ユーザーのEメールアドレス、IPアドレス、ユーザー名、ハッシュ化されたパスワードが流出した。（297,744）

政府に関連して言及されたマルウェア

このチャートは政府に関連して、先週トレンドとなったマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー

PHPデベロッパーのNikita Popov氏は、自分のアカウント名と同僚デベロッパーであるRasmus Lerdorf氏のアカウント名のもとで、php-src repoへのコミットが行われたことを発表した。同デベロッパーらは、これまでの証拠から見て、個々のGitアカウントではなく、GitのPHPサーバーが危険にさらされたようだと述べている。このコミットには、エクスプロイトブローカーであるZerodium社の名前が記載されていたが、同社CEOは「明らかに」自社と今回のコミットとは関係がないと述べている。Popov氏は、今後は独自のGitインフラを維持することはやめ、変更はサーバーにプッシュするのではなく、GitHubに直接行うことになると述べている。

政府

『Der Spiegel』誌は、キリスト教民主同盟と社会民主党の連邦議会議員が、「Ghostwriter」キャンペーンに関連したフィッシングメールの標的になったと報じた。また、攻撃者は31名の州議会議員のほか、数十人の活動家をも標的にしていたとのこと。ロシアの軍事情報機関（GRU）と関連があるとされる「Ghostwriter」キャンペーンは、2017年に開始されたと伝えられている。Mandiant社の研究者によると、同キャンペーンは偽情報を拡散させることを目指しており、ロシアの安全保障上の利害と一致している。

銀行・金融

ニューヨーク州金融サービス局（DFS）は、消費者を対象とした継続的な不正行為キャンペーンについて、改めて警告を発した。 DFSは、2021年2月に初めてこのキャンペーンについて警告したが、その後、データ盗難の報告が追加で上がっている。攻撃者は、データベンダーから企業への転送中に、ウェブデバッグツールを使用して修正されていない平文の非公開情報（NPI）を盗み出したり、クレデンシャルスタッフィング技術を使用して保険代理店のアカウントにアクセスし、消費者のNPIを盗み出したりする。また、ソーシャルエンジニアリングによる不正行為も確認されている。

医療

Proofpoint社は、歴史的にイスラム革命防衛隊のインテリジェンス収集の優先事項と一致する活動を行ってきた「TA453」が、米国とイスラエルの医学研究者を標的にしていると報告した。このクレデンシャル・フィッシング・オペレーションは2020年後半に始まり、遺伝学や神経学、腫瘍研究に携わる最大で25名の上級研究者を標的としていた。「BadBlood」と名付けられたこのキャンペーンは、イスラエルの著名な物理学者からのものであるかのように偽装された電子メールによって始まる。

暗号通貨

Palo Alto Networks社の脅威インテリジェンスチーム「Unit 42」の研究者が、30件の悪意のある画像を特定した。これらはDocker Hub上で2,000万回ダウンロードされ、推定20万ドル相当のクリプトジャッキング・オペレーションに使用されている。これらの悪意のある画像は、10個の個別のDocker Hubアカウントで発見された。最も人気のある暗号通貨が「Monero」であることが判明したが、これは、その匿名性の高さ、マイニングにCPUを使用すること、そしてこのコインの人気の高さによるものと思われる。攻撃の大半には、「Monero」のマイナーである「XMRig」が関与していた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-26-march-01-april-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/