2020.07.31

ウィークリー・サイバーダイジェスト – 2020年7月24日〜7月30日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

CouchSurfing

1,700万人の情報を含むデータベースが現在、ハッキングフォーラムとTelegramチャンネル上で700ドルで販売されている。2020年7月に盗まれたとされるデータベース内のユーザー情報には、ユーザーID、本名、メールアドレスが含まれている。今回の漏洩にパスワードが含まれていたかどうかは不明だ。(17,000,000人)

 

Promo.com

同企業はサードパーティ・サービスの脆弱性によるデータ侵害に悩まされた。今回の侵害で「Slidely」と「Promo」のレコード2,300万件が流出し、そこには苗字と名前、メールアドレス、IPアドレス、そして性別が含まれている。暗号化、ハッシュ化、ソルト付与されたパスワードもまた流出しており、解読された可能性がある。

 

Amphastar Pharmaceuticals

約2GBのデータが漏洩した。これは「DoppelPaymer」ランサムウェアによる侵害の結果と見られる。侵害されたデータには、監査報告書、会計書類、化学製品の調査、機密の企業間合意書などが含まれている。

 

Instacart

2つのDarkWebストアの販売者が 278,531件の顧客アカウントを宣伝している。データには、名前、注文履歴、クレジットカードの末尾4桁、メールアドレスなどが含まれている。Instacart社はデータ侵害を承知していないと述べ、アカウントが外部のプラットフォームで侵害された可能性を提示した。(278,531人)

 

Salinas Valley Memorial Healthcare Systems

従業員4人のメールアカウント、および請負業者1社と関連するメールアカウントが、2020年4月〜7月の間に侵害された。侵入者は受信ボックスに数時間の間アクセスし、従業員と患者のデータを閲覧することができた。流出した情報には名前、カルテ番号、病院の口座番号などが含まれていた。

 

Dave Inc

同社は、過去のサードパーティ・サービス・プロバイダ「Waydev」によって引き起こされた、セキュリティ・インシデントを公表した。インシデントにより、ユーザー記録7,516,691件が流出した。データベースは、2020年7月14日に秘密のアンダーグラウンド・セールにおいて約16,000ドルで販売され、2020年7月24日には「ShinyHunters」によってハッキングフォーラム上で無料公開された。流出データにはメールアドレス3,092,396件、名前、電話番号、ハッシュ化されたパスワードなどが含まれている。(~3,000,000人)

 

SEI Investments

同社のベンダーであるM.J. Brunnerは、2020年5月にランサムウェア攻撃の標的となり、攻撃者はSEI Investmentsの約100社の顧客に関わるファイルを盗み出した。そのデータはその後、オンライン上に流出した。暴露されたデータには、ユーザー名やEメール、場合によっては住所や電話番号などが含まれていた。

 

National Cardiovascular Partners

2020年5月19日、同社は患者情報を取り扱う従業員用のメールアカウントが侵害されたことを確認した。調査の結果、攻撃者が最初にアクセスしたのは2020年4月27日だったことが判明し、暴露されたデータには、氏名や連絡先などの機密データが含まれていた。(78,070人)

 

Waydev

分析プラットフォームの「Waydev」は2020年7月3日、ハッカーがブラインドSQLインジェクションの欠陥を利用して同社のデータベースにアクセスしたことを発見したと明らかにした。攻撃者はGitHubとGitLab OAuthトークンを盗み出し、Dave.comやFlood.ioなどの他社のコードベースにアクセスするために使用したという。

 

Front Rush

同社は、2020年1月に公開されたAWSのS3バケットがセキュリティ調査員によって発見されたことを受け、データ漏洩を確認した。調査の結果、2016年1月18日から2020年1月8日までの間にデータベースが公開されていたことが判明した。データベースには、医療記録や業績報告書、運転免許証、氏名、生年月日、社会保障番号など70万件以上のファイルが含まれていた。

 

Drizly

同社は、メールアドレスや生年月日、ハッシュ化されたパスワード、場合によっては配送先の住所などが盗まれたデータ漏洩事件を顧客に通知した。TechCrunchがデータの一部を分析したところ、ユーザーの電話番号、IPアドレス、ジオロケーションデータも含まれていることが判明した。さらに、DarkWebマーケットプレイスのリストでは、データに金融情報が含まれているとの主張がなされている。(2,500,000人)

 

Avon

専門家が、保護されていないAvon.comの米国サーバーを発見し、そこには同社の機密データが含まれていたことが判明した。2020年6月9日、同社はサイバーインシデントを確認していたが、今回の侵害がそのインシデントに関連しているかどうかは不明のままだ。その後、サーバーは保護されている。漏洩したファイルには、APIログのほか、氏名、電話番号、生年月日、メールアドレス、住所など、個人を特定できる情報が含まれていた。

 

Ledger SAS

同社は、2020年7月14日にLedgerのWebサイト上で侵害が発生したことを認識し、その後、2020年6月25日に不正な個人が同社のEコマースおよびマーケティングのデータベースにもアクセスしたことが判明した。データベースには、約100万件のメールアドレスを含む連絡先や注文の詳細が含まれていた。また、約9,500人の顧客の氏名、郵便番号、電話番号、注文した商品も公開されていた。支払い情報やクレデンシャル、暗号化された資金には影響がなかった。(~1,000,000人)

 

バーモント州税務当局

同局は2020年7月2日、同局のオンライン申告サイトで納税者の情報が流出していたことを発見した。漏洩は、2017年2月から2020年7月までの間に同サイトで固定資産税の移転申告を行ったバーモント州の住民に影響を与えた。流出したデータには、買い手の完全な社会保障番号と売り手の社会保障番号の一部が含まれていた。

 

アラブ首長国連邦

Invest Bank

DarkWebフォーラム上のアクターが、銀行を侵害してデータベースを盗むことに成功したと主張しており、その構造とコンテンツをCybleの研究者が検証している。このデータベースは、サイズが7.5GBで、銀行口座情報やカードデータ、ユーザー記録などを含む29のデータベーステーブルを含んでいる。

 

ブラジル

Hurb

このオンライン旅行代理店はデータ侵害に悩まされ、その結果2,000万件のユーザーレコードが漏洩した。DarkWebフォーラム上に投稿されたサンプルによれば、漏洩データにはメールアドレスとハッシュ化されたパスワードが含まれている。

 

フランス

Axens SA

「Netwalker」ランサムウェアのオペレーターが、データ漏洩ブログサイトで、フランスのエンジニアリング企業「Axens SA」を攻撃したと主張している。同社に属すると思われる漏洩したデータサンプルには、プロジェクト書類、顧客情報、財務書類などが含まれていると見られる。

 

Rabot Dutilleul

「Netwalker」ランサムウェアの運営者は、「Rabot Dutilleul」を標的にして、会社の機密データを盗んだと主張している。秘密保持契約書、建設資材データ、複数の顧客サービス文書などが含まれるデータサンプルが流出した。

 

スペイン

Administrador de Infraestructuras Ferroviarias

同社は「REvil」ランサムウェア攻撃の標的となった。同ランサムウェアのオペレーターは800GBのデータを盗んだと主張している。これには契約書と経理情報が含まれていると報じられている。攻撃者はデータのサンプルを公表し、さらに公表すると脅迫した。今回の攻撃による同社のインフラへの影響はない。

 

ドイツ

Dussmann Group

「Nefilim」ランサムウェアの運営者が、同社から盗んだと主張する機密データを含むデータリークの「パート1」を公開した。同社はその後、子会社である「Dresdner Kühlanlagenbau GmbH」への攻撃が再び行われたことを確認した。ランサムウェアの運営者は、文書、画像、会計情報、AutoCADの図面などを含む14GB相当のファイルを盗み出した後公開した。

 

インド

Square Yards

「South Korea」というエイリアスを使って、スクウェア・ヤードに侵入したと主張する信憑性のある人物がいる。侵入されたデータには、顧客の氏名、住所、生年月日、メールなどのほか、従業員の氏名、メールID、パスワード、携帯電話番号、住所などのデータも含まれている。

 

SumoPayroll

ハッカー「South Korea」は、DarkWeb上で「SumoPayroll」に属するデータを宣伝した。その中には、従業員の氏名、PANカード、Aadhaarカード、銀行の詳細が含まれていた。

 

Stashfin

和解書類、Aadhaarカード、PANカード、法的書類、給与明細書などを含むStashfinのデータベースが、ハッカー「South Korea」によってDarkWeb上で宣伝されていた。

 

その他

複数企業

2020年7月21日、「ShinyHunters」というエイリアスで活動する脅威アクターが、ハッカーフォーラムに18個のデータベースを流出させ、そのうち9個はこれまでに報告されていないものだった。これらのデータベースは、Havenly、Indaba Music、Ivoy、Proctoru、Rewards1、Scentbird、Vakinhaに属するとされている。合計すると、18個のデータベースには3億8600万人分のユーザーレコードが含まれている。

 

重要インフラに関連して言及された攻撃タイプ

このチャートは重要インフラに関連して、先週トレンドとなった攻撃タイプを示しています。

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

重要インフラ

McAfeeの研究者は、防衛関連の請負業者から採取した求人情報を含む悪意のある文書を使用したキャンペーンを特定した。このキャンペーンは2020年に最初に発見されたもので、航空宇宙や防衛分野の業界幹部を標的にしているようだ。キャンペーンは、テンプレートインジェクション攻撃を利用してデータ収集マルウェアを標的システムにインストールする悪意のある文書で、韓国をはじめとする外国を標的にしている。文書には通常、防衛産業を装ったものが含まれているが、場合によっては韓国国内の政治を装ったものもあった。研究者は、今回のキャンペーンで使用されたTTPは、2017年と2019年に北朝鮮に関連した脅威アクター「Hidden Cobra」に起因するとされる他の2つのキャンペーンで見られるものと「非常に類似している」と述べている。

 

教育

Cybleの研究者は、CengageNow iLrnアプリケーションのソースコードを約1000ドルで販売している信頼できる脅威アクターを特定したと述べている。このコードには、アプリケーションのすべてのリソースとプログラミング設定が含まれているようだ。

 

テクノロジー

英国のNational Cyber Security Centreと米国のCybersecurity and Infrastructure Security Agencyは、「QSnatch」マルウェアがQNAP NASの未パッチデバイスにもたらすリスクについて警告を発した。このマルウェアは、2014年初頭から2017年半ばまで、そして2018年後半から2019年後半にかけて再びキャンペーンで使用されていた。感染ベクトルは確定的に特定されていないが、マルウェアは「感染段階でデバイスのファームウェアに注入されているように見える」としている。デバイスが感染すると、マルウェアは管理者がファームウェアのアップデートを実行できなくなる可能性がある。「QSnatch」は、2020年6月中旬までに世界で約6万2,000台のデバイスに感染しており、パスワードを記録したり、資格情報をスクレイプしたり、Webシェル機能を使ってリモートアクセスを行ったりすることができる。

 

小売、ホスピタリティ、観光

BuzzFeedは、2つのDarkWebストアの売り手が、Instacartの顧客アカウント278,531件の広告を出していると報じた。売り手の1つは、2020年6月から7月にかけて、侵害されたばかりのアカウントを追加していたと主張している。その情報には、名前、注文履歴、クレジットカード番号の下4桁、メールアドレスなどが含まれている。これらのデータは、1アカウントあたり約2ドルで販売されていたという。セキュリティ・ファナティクスの責任者はBuzzFeedに、データは「最近のもので、完全に本物」であるように見えると伝えた。InstacartはBuzzFeedに対し、「現時点ではデータの侵害は認識していない」と話した。同社は、顧客のアカウントは、プラットフォームの外部で発生したクレデンシャルスタッフィングやフィッシング攻撃によって侵害された可能性があると述べている。

 

暗号通貨

Intezerの研究者は、クラウド上のDocker APIポートの誤設定を標的とした現在進行中のNgrokボットネットキャンペーンの一環として、新しい攻撃を観測した。このマルウェアはDynDNSサービスと独自のドメイン生成アルゴリズムを使用し、Dogecoin暗号通貨ブロックチェーンを悪用してC2ドメインアドレスを動的に生成している。このマルウェアは半年以上も検出されなかったままだった。研究者は、誤って設定されたDockerサーバーは、公開されてから数時間以内に感染する傾向があると警告している。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-24-30-july-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。