航空会社向けシステム「Radixx Res」で異常、システムがマルウェアに感染と判明　ピーチ、ZIPAIRにも影響

ウィークリー・サイバーダイジェストについて

マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。

以下、翻訳です。

2021年4月29日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクトのトレンド

このテーブルでは、ここ１週間において、脆弱性との関連でオープンソースおよびダークウェブ上で普段より多く言及されたプロダクトを示しています。

データ流出

今週報告されたデータ流出の一部を示しています。

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

不明

Cyble Incの研究者は、米国居住者の個人識別情報246GB分を宣伝している脅威アクターを特定した。漏洩データには、氏名、電話番号、Eメール、自宅住所、生年月日、収入、所属政党などが含まれている。研究者は、このデータはマーケティング会社や広告会社から取得された可能性があると指摘している。（59,000,000）

Yale New Haven Health

この医療機関は、がん患者の放射線治療のための線形加速器を動作させるソフトウェアを提供しているElekta社がデータ侵害に見舞われ、同医療機関に影響を与えたことを明らかにした。

Gyrodata Incorporated

2021年1月16日以降、複数回に渡って権限のないアクターがGyrodataのシステムにアクセスしていた。このアクターは、氏名、住所、生年月日、運転免許証番号、社会保障番号、パスポート番号、W-2納税申告書などを含む、現在および過去の従業員の情報を入手した可能性がある。

イリノイ州検事当局

ランサムウェア「DoppelPaymer」のオペレーターは同局を標的にし、証拠として多数のファイルを公開した。これらのファイルには個人情報が含まれているが、現在行っている捜査や個人データに関する重要な情報は含まれていないとのこと。

サンタクララバレー交通局

VTA（サンタクララバレー交通局）がランサムウェア攻撃を受けた。その後、アクター「Astro」は、VTAから盗まれた150GBのデータを所有していると主張する投稿をダークウェブ上で公開し、同組織が協力に応じない場合はデータを流出させると脅迫した。

カンザス州労働省

カンザス州のテレビ局KWCHは、KDOL（カンザス州労働省）のウェブサイト上で、社会保障番号を使って誰でも個人情報を入手できることを発見した。同局はその後、データ漏洩の可能性について調査を開始し、不正行為者によって6億ドルが盗み取られたのはKDOLのウェブサイトが安全でないことが原因だったかどうかを究明しようとしている。

Reverb[.]com LLC

2021年4月5日、セキュリティ研究者のBob Diachenko氏は、音楽機材の再販業者が所有する保護されていないElasticsearchサーバを特定した。影響を受けるレコードには、フルネーム、Eメールアドレス、電話番号、居住地住所、出品注文などが含まれる。今回の流出では、人気バンドの著名な販売者複数の詳細情報が漏洩した。

プレスクアイル郡警察局

ランサムウェア「Avaddon」のオペレーターが、同局から盗まれたとされるデータを流出させると脅迫した。市政担当官の Martin Puckett 氏は、警察局のサーバーが権限のないアクターによってアクセスされたことを確認した。このアクターは、被害者の供述書、職員の個人データ、刑事事件の報告書、その他の機密データを所持していると主張している。

ワイオミング州保健省

同省は、2021年3月10日に職員がコロナウイルスとインフルエンザの検査結果データが入ったファイル53個と呼気アルコール検査結果が入ったファイル1個を意図せずに公開していたことを発見した。漏洩したデータには、氏名、住所、生年月日などが含まれている。（164,021）

不明

脅威アクター「Pompompurin」が、米国市民および居住者のデータを含むデータベースを流出させた。流出したデータには、氏名、電話番号、住所、生年月日、信用情報、収入情報などが含まれる。（250,806,711）

DigitalOcean

TechCrunchは、このクラウドインフラストラクチャ企業が、顧客のアカウントにリンクされた請求情報が2021年4月9日から4月22日にかけて公開されていたと顧客に通知した、と報告した。公開された情報には、氏名、住所、支払い用カードの下4桁、有効期限、カード発行銀行名などが含まれる。

Osborn Cancer Care

DataBreaches[.]netは、ランサムウェア「Avaddon」のオペレーターが、 Capital Medical Center から盗んだとする約30GBのデータを公開したと報告した。さらなる分析により、この攻撃は実際には Osborn Care をターゲットにしていたことが判明した。漏洩したデータには、患者や従業員の個人情報を含む85,000以上のファイルが含まれている。

エクスペリアン

セキュリティ研究者の Bill Demirkapi 氏は、誰もが認証を必要とせずにエクスペリアンのAPIにアクセスし、名前や住所などの一般に公開されている情報を使って、個人のクレジットスコアを取得できることを発見した。エクスペリアンは、この問題はすでに修正されている「単一の事例」だと述べている。しかしDemirkapi 氏は、何千もの企業が同じAPIを使用しており、データが流出している可能性があると考えている。

イタリア

不明の地方自治体

「Avaddon」ランサムウェアのオペレーターはUnione di Comuni Colli del Monferratoへの攻撃を主張しているが、このアクターは、分散型サービス拒否攻撃により誤った形でUnione dei Colli DiViniに圧力をかけている。同アクターは被害者から盗み取ったいくつかのファイルを公開しており、その中には、他の2つの場所とは無関係の、ミラノの自治体であるCislianoの文書も含まれている。このグループはその後、標的の名前をVillafranca D’Astiの自治体に変更したが、これも公開された文書とは無関係。

Mipharm SPA

「Sodinokibi」ランサムウェアのオペレーターは、ミラノに拠点を置くこの製薬会社から盗んだと主張するデータのスクリーンショットを公開した。

Washington DC Metropolitan Police Department

同警察当局は、「Babuk」によるランサムウェア攻撃の標的となった。このアクターは250GBのデータを盗んだと主張し、その証拠として盗んだ情報のスクリーンショットをリークした。スクリーンショットには、業務に関する情報、懲戒処分の記録、ワシントンD.C.で活動するギャングメンバーに関連するファイルを含むファイルディレクトリが写っていた。

アルバニア

社会党

トランスペアレンシー・インターナショナルは、アルバニア社会党が違法に入手した国民の個人情報を含むデータベースを保持していたと主張している。また、同党は有権者を監視するスパイを配置していたと非難されている。アルバニアのエディ・ラマ首相は、同党は監視システムを使用しており、データは戸別訪問で収集されていると述べている。（910,000）

ヨルダン

MSPharma

「Sodinokibi」ランサムウェアのオペレーターは、被害者リストに MSPharma を追加した。この会社に関連して流出したファイルには、MSPharma が取引しているとされるUnited Pharmaceutical Manufacturing Co.のデータが含まれている模様。

カナダ

ノースウエスト準州COVID-19事務局

この事務局が誤って送信したメールには、現在イエローナイフで自主隔離している旅行者のメールアドレスと一部の氏名が記載されていた。

オーストラリア

Newcomb Secondary School

この学校はランサムウェア攻撃の標的となり、文書が盗み取られた。この攻撃を行ったアクターは、生徒の名前が記載されたものを含む、盗んだ文書の一部をネット上に公開した。漏洩したファイルには、生徒の課題や教師の計画資料などが含まれている。

英国

Merseyrail

2021年4月18日、BleepingComputer は、Merseyrail のディレクターであるAndy Heath氏の侵害された仕事用メールアカウントからメールを受信した。攻撃者は、職員や英国の様々な新聞社にも同じメッセージを送った。このメールは、最近起きた停電はデータの盗難を伴う「Lockbit」ランサムウェアの攻撃によるものだと主張している。Merseyrail は、サイバー攻撃を受けたことを認めた。

その他

MangaDex

MangaDexは、2020年12月頃にデータ漏洩を検出したことを会員に連絡した。影響を受けたデータは、メールアドレス、ハッシュ化されたパスワード、IPアドレスなど。

OGUsers

KELA社の研究者によると、攻撃者によってwebshellが OGUsers のサーバーにアップロードされた後、OGUsers のサイトがハッキングされたと、フォーラムの管理者たちが明らかにしたとのこと。攻撃者は、フォーラムのデータベースのダンプ全体にアクセスした。このデータベースには、OGUsersメンバーのユーザーレコードとプライベートメッセージが含まれていた。(350,000）

政府に関連して言及されたマルウェア

このチャートは、先週トレンドとなった政府に関連するマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行、金融

Armor Blox の研究者は、Chase社の顧客を狙った2つのフィッシングメールを確認した。1つ目のメールはクレジットカードの明細書を装い、2つ目のメールはChase社の不正監視部門を装い、ユーザーのアカウントがロックされていることを知らせていた。どちらのキャンペーンも、マイクロソフトのメールセキュリティ制御を回避して標的をフィッシングページに誘導し、銀行口座の認証情報を共有するように促していた。

政府

Bitdefender の研究者は、東南アジアの政府機関や軍事組織を対象とした、2019年6月から2021年3月にかけての長期にわたる「NAIKON」の活動を確認した。このキャンペーンの目的はデータ窃盗とサイバースパイだった。グループは当初、攻撃の第一段階として「Aria-Body」ローダーと「Nebulae」を使用していたが、2020年9月に「RainyDay」バックドアをメインツールとして導入した。

小売、観光

2021年4月20日に初めて確認された Radixx Res に関連する異常な動きを調査した結果、Radixx のシステムにマルウェアがインストールされていたことが判明した。このインシデントにより、多くの飛行機利用者が、影響を受けた航空会社のサイトで予約や予約の変更、削除、確認をすることができなくなった。影響を受けた航空会社には、ピーチ・アビエーション、ZIPAIR、エア・ベルギー、スカイ航空、エア・トランザット、ベトトラベル・エアラインズ、エアロK、サラーム・エア、サフエアー航空、エア・インディア・エクスプレス、ウィンゴなどが含まれる。

テクノロジー

ClickStudios社は、2021年4月20日から4月22日の間に発生した侵害を公表した。CSISグループの研究者は、同社のパスワードマネージャー「Passwordstate」のアップデートメカニズムを介してドロップされた悪意のあるZIPファイルの中に、「Moserpass」と名付けられた不正なDLLを発見した。同社は、2021年4月20日から4月22日の間にインプレースアップグレードを実行した顧客が影響を受ける可能性があると述べている。また、ClickStudios社は、同社を装ったフィッシング攻撃が続いていると警告している。

暗号通貨

フォーティネットの研究者は、ビットコイン不正を宣伝するキャンペーンをYouTube上で確認した。「ライブ」動画として公開されていたこの動画では、Raoul PalとChamath Palihapitiyaのインタビューが事前に収録されていた。この動画は、最近登録されたドメインにユーザーを誘導するテキストメッセージが表示させていた。ユーザーは、2倍の金額を受け取るにあたって0.1BTCから20BTCの間の額を送金するように指示される。研究者たちは、この不正行為者たちがこれまでに73,000ドル以上に相当するBTCを稼いだと述べている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-23-29-april-2021/

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/