Threat Report

Silobreaker-WeeklyCyberDigest

Trelloの日本ユーザーのデータがインターネット上に流出

山口 Tacos

2021.04.09

ウィークリー・サイバーダイジェストについて

マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。

以下、翻訳です。

2021年4月8日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクトのトレンド

このテーブルでは、ここ１週間において、脆弱性との関連でオープンソースおよびダークウェブ上で普段より多く言及されたプロダクトを示しています。

データ流出

今週報告されたデータ流出の一部を示しています。

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Cardpool

Gemini Advisoryの研究者は、2021年2月にサイバー犯罪アクターが33万枚の盗難ペイメントカードを販売したと報告した。同アクターはそれらのカードを現存しないギフトカード交換サービスに関連付けていた。このアクターは、89万5千枚の盗難ギフトカードも販売しており、研究者はこれらもCardpool社のものであると中程度の確度で評価している。これらのギフトカードはAmazonやナイキ、Target、アメリカン航空などの有名企業で利用するためのものだった。この侵害は、2019年2月4日から8月4日の間に発生した可能性が高い。

Administrative Advantage

医療機関に請求書作成支援サービスを提供している同社は、2020年6月23日から7月9日の間に、認証されていない個人が従業員のEメールアカウントにアクセスした可能性があることを発見した。患者名、社会保障番号、金融機関の口座番号、運転免許や州の識別番号、クレジットカードやデビットカードの全情報、生年月日などが漏洩した可能性がある。

Office Depot

セキュリティ研究者Jeremiah Fowler氏とWebsite Planetの研究者が、974,050件のレコードを含むパスワードで保護されていないElasticsearchのデータベースを発見した。この露出したデータにはSSHログインやその他の社内の従業員情報が含まれていた。また、ヨーロッパの顧客記録も含まれており、その大部分はドイツを参照していた。これらの記録には、氏名、電話番号、現住所など、個人を特定できる顧客情報が含まれていた。

Facebook

携帯電話番号、名前、生年月日、Eメールアドレスなどが、ハッカーフォーラムで無料で共有されていた。2019年に取得されたとされるこのデータは、2020年6月に、報告によると3万ドルで販売されていた。Hudson Rock社のAlon Gal氏は、2019年にパッチが適用されたFacebookの「友達になる」機能の欠陥を介して、脅威アクターが携帯電話番号を入手した可能性が高いと述べた。

MedData

セキュリティ研究者のJelle Ursem氏とDissent Doe氏は、MedData社が保管している患者記録のうち、2019年9月以前または9月中に同社の従業員の1人がアップロードしたものが、現在GitHub Artic Vaultに保存されている可能性があると推測した。同社は最近、インシデント通知を発表し、影響を受けた患者に連絡を取った。流出した情報には氏名、住所、生年月日、社会保障番号、医療データなどが含まれている。

Bricker & Eckler LLP

オハイオ州を拠点とするこの法律事務所は、2021年1月31日にランサムウェア攻撃の標的となった。このインシデントの調査により、攻撃者が内部システムへのアクセスを獲得し、一部のデータを入手したことが明らかになった。盗まれたデータには氏名、住所が含まれており、さらに一部のケースでは医療関連あるいは学歴関連の情報、運転免許番号、社会保障番号が含まれていた。

Affton School District

ミズーリ州の学校がランサムウェア攻撃の対象となった。2021年3月3日、攻撃者は同学区の従業員400人の社会保障番号を含む個人情報を流出させた。

フランス

Asteelflash

BleepingComputer は、同企業が「REvil」ランサムウェアに感染していたと報告した。攻撃者のTorサイトには、脅威アクターと同企業との間の短い会話が示されている。攻撃者はこの会話のなかで、攻撃の間に盗んだとするファイルを共有していた。

カナダ

Home Hardware Stores Ltd

このハードウェア小売業者は、「DarkSide」ランサムウェア攻撃の標的になった。グループは、取得したデータの一部のスクリーンショットを自身のダークウェブサイト上にリークした。

ニュージーランド

Allied Press

このメディア企業は、国のコンピュータ緊急対応チームからOtago Daily Timesのアーカイブの漏洩について通知を受けた。同社はサービスを停止し、この漏洩によって影響を受けた不特定多数の個人に通知した。

英国

Arup Group

このエンジニアリング企業は、2021年1月中旬にマネージドサービスプロバイダのSymatrixを襲ったランサムウェア攻撃による影響を受けていた。不特定多数のArup従業員の氏名、銀行口座、国民保険番号、住所などが流出した。

日本

Trello

このタスク管理ソフトの日本ユーザーのデータがインターネット上に流出した。公開されたデータには、COVID-19ワクチンの臨床試験応募者の氏名、住所、電話番号、さまざまな個人や企業の銀行口座情報、就職活動中の学生の携帯電話番号などが含まれていた。同社によると、流出したデータは、アカウントを公開設定に選択したユーザーのものであるとのことだ。

銀行や金融に関連して言及された攻撃タイプ

このチャートは銀行や金融に関連して、先週トレンドとなった攻撃タイプを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー

OnapsisとSAPは、保護されていないSAPアプリケーションを悪用しようとする行為について、共同で警告とレポートを発表した。両社は、悪用されている脆弱性に対するパッチが数ヶ月前、場合によっては数年前から提供されているにもかかわらず、多くの組織が適切な緩和策を適用していないことを指摘している。組織は、直ちにSAPパッチを適用し、安全な設定を行うことを勧めている。

政府

欧州委員会の広報担当者は、2021年3月に欧州委員会および他の複数の欧州連合（EU）組織がサイバー攻撃の標的となり、ITインフラに影響があったことを発表した。現時点では詳細は不明だが、この件に詳しい匿名の情報源がBloombergに伝えたところによると、今回の攻撃は、定期的にEUを標的にしている標準的なサイバー攻撃よりも規模が大きかったとのことだ。また、この情報源によると、攻撃の深刻さは、委員会の高官が警告を受けるほどであったとのこと。

銀行、金融

ESETの研究者は、バンキングトロイの木馬「Janeleiro」が2019年からブラジルの企業ユーザーを標的にしていることを発見した。攻撃は、エンジニアリング、政府、金融、ヘルスケア、製造業など、さまざまな分野のターゲットに送信されているフィッシングメールを介して開始されている。「Janeleiro」は、ブラジルの大手銀行を模したポップアップウィンドウを使用して、ユーザーに個人情報を入力させようとし、その情報は攻撃者のC2に送信されるという。

小売、観光

VISAは、2020年を通じて、JavaScriptベースのクレジットカードスキミングスクリプトが、ウェブシェルを介してハッキングされたオンラインウェブストアに注入されるケースが増えていると報告している。このスキマーにより、攻撃者は買い物客の支払い情報や個人情報を盗むことができる。このウェブシェルは、脅威アクター「Magecart」が、ハッキングしたオンラインストアのサーバーにバックドアを仕掛けるために主に使用していたという。同社によると、2020年には少なくとも45件のスキミング攻撃にウェブシェルが使用されていたとのことだ。この傾向は、より広範な脅威ランドスケープにおけるウェブシェル使用の増加を反映していると報告されている。

暗号通貨

セキュリティ研究者のJustin Perdok氏は、攻撃者がGitHub Actionsを使って暗号通貨を採掘していることを確認した。この攻撃は、GitHubのリポジトリを対象としており、まず、GitHub Actionsを使用している正規のリポジトリをフォークすることから始まるという。その後、攻撃者はフォークしたバージョンに悪意のあるコードを注入し、プルリクエストを提出して元のリポジトリのメンテナにコードをマージする。元のプロジェクトのメンテナは、プルリクエストを承認する必要はないという。GitLabにホストされているクリプトマイナーを配信しようとした脅威アクターは、少なくとも95のリポジトリを標的とした。また、セキュリティ研究者のMark Dodgson氏が発見した模倣攻撃は、50以上の正規のリポジトリに影響を与えた。BleepingComputerは、この攻撃の変形として、XMRigの公式GitHubリポジトリからオープンソースのXMRig cryptominerを引き抜いているものを発見した。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary
https://www.silobreaker.com/threat-summary-02-08-april-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/