ウィークリー・サイバーダイジェストについて
マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。
以下、翻訳です。
2021年4月15日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクトのトレンド
このテーブルでは、ここ1週間において、脆弱性との関連でオープンソースおよびダークウェブ上で普段より多く言及されたプロダクトを示しています。
データ流出
今週報告されたデータ流出の一部を示しています。
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
Q Link Wireless
セキュリティ研究者のDan Goodin氏は、Q Link WirelessがMy Mobile Accountアプリを経由して顧客の詳細情報を漏洩させたと報告した。ユーザーは、Q Link Wirelessの有効な電話番号をアプリに入力すると、顧客の情報を閲覧することができた。この問題は2020年12月ごろから存在しており、氏名、自宅住所、Eメールアドレス、通話記録、支払いカードの下4桁が漏洩した。
米国臨床病理学会議
米国臨床病理学会議は、攻撃者が同組織のEコマースサイトを標的にしたことを明らかにした。攻撃者は、2020年3月30日から2020年11月6日の間にサイトにアクセスしており、氏名、クレジットカードまたはデビットカード番号、CVV番号などの支払いカード情報にアクセスした可能性がある。
Motherboardは、Facebookユーザーの電話番号を収集できるボットをTelegram上で確認した。このボットを利用したい攻撃者は、Facebookページの固有識別コードを特定しなければならないが、これは無料で利用できるサイトを使えば行うことができる。その後ユーザーがページ番号をボットに入力すると、ページのサイズに応じて課金される仕組み。同メディアによれば、データは過去のものであると思われ、すべてのユーザーの情報が提供されているわけではない。
Clubhouse
正体不明のアクターが、コミュニケーションプラットフォーム Clubhouse に属する130万件のスクレイピングされたユーザー記録をダークウェブ上に流出させた。流出したSQLデータベースには、氏名、TwitterやInstagramのハンドルネーム、ユーザーの写真へのURLなどが含まれている。同社は、流出したデータはこのプラットフォームのAPIを通じて誰もが入手できる状態になっていると述べた。
Paxful
The Coin Telegraphは、名称不明のアクターが、この仮想通貨交換所から盗んだとされる個人の顧客や従業員のデータをロシア語版Telegramチャンネルで販売しようとした、と報告した。同アクターは、電話番号、名前、住所など480万件のデータを所有していると主張した。同社は、顧客データは漏洩しておらず、従業員データはかつてのサードパーティーサプライヤーから不正に入手されたものであると述べた。
ダーラム地域
カリフォルニア州の同地域は、サードパーティーのソフトウェア・プロバイダーで発生し、同地域に影響を与えたサイバーセキュリティ・インシデントについて通知した。DataBreaches[.]netによると、「CLOP」ランサムウェアのオペレーターは最近、ダーラム地域のものとされる6.5GBのファイルを公開しており、これらのファイルはAccellionの侵害で入手されたと見られる。流出したファイルには、児童・生徒に関する個人情報が含まれていると報告されている。
Signify Health LLC
セキュリティ研究者のDan Goodin氏は、元従業員が誤ってログイン情報を求人掲示板にアップロードしてしまい、それがJiraのサポートリクエストへのアクセスに使用された可能性があると報告した。このログイン情報は、3時間しか公開されていなかった。同社は、Jiraのチケットの中に保護されるべき医療情報が含まれているかどうかを判断することができなかった。
CareFirst BlueCross BlueShield Community Health Plan District of Columbia
2021年1月28日、CHPDCのシステムで異常な動作が検出された。このサイバー攻撃は、「一流の外国サイバー犯罪組織」によって行われたと考えられている。現時点では、CHPDCの登録者数や、どのような種類のデータが影響を受けたのかは不明。
ParkMobile
Gemini Advisory社の研究者は、この駐車場アプリの顧客のアカウント情報がロシア語の犯罪フォーラムで販売されているのを発見した。盗まれた情報には顧客のEメールアドレス、生年月日、電話番号、ナンバープレート、ハッシュ化されたパスワード、住所などが含まれている。ParkMobileは、同社が使用しているサードパーティーのソフトウェアに脆弱性があることについて通知した。(21,000,000)
Cybernewsの研究者は、ある脅威アクターが、このプラットフォームからスクレイピングしたプロフィールを含むとされるアーカイブを販売しているのを観測した。このアクターは、証拠として200万件の記録のサンプルをリークした。このサンプルには、ユーザーの名前、Eメールアドレス、電話番号、職場情報などが含まれていた。LinkedInによると、このデータは「多数のウェブサイトや企業からのデータが集められたもの」だという。(500,000,000)
Atlantic Media
2021年3月1日、不正なアクターが同社のサーバーにアクセスしたことが判明した。ネットワークのファイル共有サーバーの特定の部分が侵入者にアクセスされた可能性があり、従業員、子会社、契約者の氏名や社会保障番号が記載された税務書類が流出している。
Manhunt
この同性愛者向けマッチングアプリは、ユーザーのアカウント認証情報を保存するために使用していたデータベースが攻撃者のアクセスを受けたことを、ワシントン州の司法長官事務所に届け出た。この攻撃者は、ユーザー名、Eメールアドレス、パスワードのダウンロードを開始していた。(7,700)
Mercato
2021年1月にクラウドストレージのバケットが保護されずに公開された状態になっていたことで、数千件の顧客の注文が流出したと、身元不明の個人がTechCrunchに伝えた。公開されていたデータには、2015年9月から2019年11月までの7万件以上の注文が含まれており、これらには顧客の名前、Eメールアドレス、自宅の住所、IPアドレスなどが含まれていた。
インド
Upstox
同社は、データベースへの不正アクセスが起きたと主張するメールを受け取った後、データが漏洩した可能性があることを顧客に通知した。サードパーティーのデータ・ウェアハウス・システムで保管されていた連絡先データや顧客確認情報が流出した恐れがある。ハッカーは、盗まれたデータの一部サンプルをダークウェブ上に公開した。
Ansal Housing
インドの不動産デベロッパーであるAnsal Housingは、2021年2月26日以降、複数のサイバー攻撃の標的にされていることを明らかにした。これによりデータが失われた可能性がある。
Bizongo
Website Planetの研究者は、2020年12月30日にこのサプライチェーン・オートメーション企業が所有する設定を誤ったAWS S3バケットを発見したと報告した。このバケットには、顧客の名前、住所、電話番号に加えて、一部の購入情報や財務情報を含む250万以上のファイルが含まれていた。
Tata Communications
正体不明のアクターが、このテクノロジー大手企業に属する50GBのデータベースを入手したと主張している。このデータベースには、顧客のログイン認証情報や電話番号、従業員のEメールのバックアップなどが含まれている。OpIndia社は、データは同社のサーバー管理者であるRoute Mobile社のサブドメインを侵害することによって入手されたとの情報を得た。両社とも、ハッキングされたことは否定している。
ドイツ
Eventus Media International
Zerforschungの研究者が、ハンブルグ、ベルリン、ライプチヒ、シュヴェルトにある同社のCOVID-19センターで検査を受けた人々の個人情報を発見した。流出したデータには、氏名、住所、生年月日、電話番号、Eメールアドレス、検査結果などが含まれていた。(14,000)
ブラジル
Iugu
セキュリティ研究者のBob Diachenko氏が保護されていないサーバーを発見した。このサーバーの容量は1.7TBで、報告によればユーザーの個人情報、銀行取引データ、トランザクションデータが保管されていた。
シンガポール
Certis
フィッシングインシデントにより、同社の顧客サービスアカウント宛に送信された約62,000件のEメールが流出したと報告されている。Eメールの一部には、国民登録番号カードやクレジットカード番号などの個人情報が含まれていた。
フランス
Pierre Fabre LLC
最近明らかになったこの化粧品大手への攻撃は、「REvil」ランサムウェアによって行われた。攻撃者は、同社から盗まれたとされるパスポート、連絡先リスト、入国書類などを掲載したページへのリンクを提示した。
スイス、米国
クレディ・スイス証券グループ
この証券グループの子会社は、2021年3月に元社員の個人データが流出したことを明らかにした。1名以上の個人が、元従業員に関するデータを元従業員、報道機関、法執行機関に送信したとして、クレディ・スイス証券から提訴された。この情報には、住所、社会保障番号、銀行口座の詳細などが含まれている。
ヨルダン
Edraak
TurgenSec社の研究者は、オンライン教育の非営利団体が所有する保護されていないクラウドストレージサーバーを発見した。これには少なくとも数万人分の学生データが保管されていた。流出したデータには、氏名、Eメールアドレス、性別、生年、国籍、一部のクラスの成績などが含まれていた。
チェコ
Asbis
この家電量販店は、2021年4月初旬にランサムウェア攻撃の標的となり、社内システムが麻痺してデータを盗まれた。同社は「Avaddon」ランサムウェアのリークサイトに掲載され、攻撃の証拠として盗まれたデータのサンプルが公開されている。
シンガポール
不明
COVID-19の機密情報を受領する権限を持っていた女性公務員が、違法な目的でコンピューター資料にアクセスし、22回にわたってデータを許可されていないWeChatグループに共有したとして告発された。
その他
Swarmshop
Group-IBは、違法なカーディングショップで取引された623,036枚のペイメントカードの詳細とともに、管理者、販売者、購入者に属するデータがオンラインで流出したと報告した。この情報は2021年3月17日に流出したもので、購入者12,250名のニックネーム、ハッシュ化されたパスワード、連絡先、活動履歴、現在の残高に加え、販売者90名と管理者4名の詳細が含まれている。(12,344)
教育に関連して言及された攻撃タイプ
このチャートは、先週トレンドとなった教育に関連する攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
テクノロジー
Vade Secureは、BleepingComputerに対し、マイクロソフト、McAfee、Nortonを装ったEメールをユーザーが受け取るという大規模なテクニカルサポート詐欺について通知した。1日に最大20万通のメールを送信している不正行為者が、メールに記載されている番号に電話をかけないと、ウイルス対策ソフトの料金が請求されるとユーザーに伝える。さらに、リモートアクセスソフト「AnyDesk」をダウンロードするように指示し、偽のスキャナーを実行して、ユーザーのコンピュータが感染していると思い込ませる。その後、メモ帳ウィンドウに情報を入力するようユーザーに指示し、その間にTeamViewerをバックグラウンドでインストールしようと試みていた。
銀行、金融
McAfeeの研究者は、「BRATA」マルウェアが、Google Playストアで配信されている複数のセキュリティスキャナ・アプリに偽装されていることを発見した。悪意のあるアプリの一つであるDefenseScreenのインストール件数は、Google Playから削除されるまでに1万件に達していた。このマルウェアは当初ブラジルを標的としていたが、スペインや米国にも拡大していることが報告されている。この悪意のあるアプリは、ChromeやWhatsApp、あるいは存在しないPDFリーダーをアップデートするようユーザーに促すが、代わりにアクセシビリティサービスを悪用してデバイスを制御する。このマルウェアは、標的となっている約52の金融・銀行アプリに基づいたフィッシングURLを提供し、感染した端末で見つかったアプリと照合させる。
教育
2021年2月16日から2021年3月15日の間に、Palo Alto Networks Unit 42の研究者は、UPXが詰め込まれたcpuminerが悪意のあるトラフィックでワシントン州の某教育機関に配信された、3つの事例を確認した。この研究者は、悪意のあるリクエストには、侵害されたホスト上でバックドアが実行されていることを示す証拠が含まれていると述べている。このバックドアは、クリプトジャッキングを目的としてマイナーをダウンロードするものと思われる。
重要インフラ
2021年4月11日、イラン・ナタンツの核施設で停電が発生し、報道によるとイランの濃縮プログラムに「深刻な損害」が生じた。このインシデントにより、死傷者や放射能汚染は発生しなかった。イランの原子力プログラムの広報担当者であるアリ・アクバル・サレヒ氏は、このインシデントを「核テロ」と表現し、意図的な破壊行為だと述べた。タイムズ・オブ・イスラエル紙は、今回のサイバー攻撃の背後にはイスラエルの諜報機関モサドが関与しているとする未確認情報源の話を報じており、外務省のサイード・ハティブザデ報道官は、今回の攻撃の背後には「もちろん」イスラエルが関与していると述べた。イスラエルはこのインシデント事件についてコメントしていない。
暗号通貨
Bitdefenderの研究者は、暗号通貨ウォレットのハイジャックとTORネットワークを介した情報の流出を伴う、一連の攻撃を確認した。攻撃の大半は、米国とインドで観測された。この攻撃では、TORを介してC2と通信するバックドアが作成される。バックドアは自動化されたリクエストを送るのではなく人間が操作しており、データの流出にはBitTorrentクライアントが使用されていると、研究者は考えている。このマルウェアは、データ流出の前にファイアウォールをオフにし、Firefoxブラウザのプロファイルデータを盗みつつプロファイルフォルダを7zipでアーカイブし、正当なCLIクライアントを使用してMoneroウォレットを盗む。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/threat-summary-09-15-april-2021/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/