2020.08.28

ウィークリー・サイバーダイジェスト – 2020年8月21日〜8月27日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

日本

三越伊勢丹とエムアイカード

三越伊勢丹とエムアイカードは、不正アクセスによるデータ漏洩を明らかにした。今回の侵害は、エムアイカードのホームページと三越伊勢丹オンラインストアで発生した。流出した三越伊勢丹の顧客データには、氏名、住所、電話番号、メールアドレス、生年月日などが含まれる。また影響を受けたエムアイカード顧客の情報には、会員名、現在のメンバーシップポイント、請求予定金額が含まれる。(19,000人)

 

米国

ユタ大学

同大学は、2020年7月19日に発生した社会行動科学カレッジへの攻撃で盗まれた学生と従業員のデータを削除するため、ランサムウェア攻撃者に457,000ドル支払ったことを明らかにした。大学によると、ハッカーが暗号化できたのはサーバーに保存されていたデータのたった0.02%だという。Netwalkerランサムウェアが攻撃の背後に存在したと推測される。

 

Social Data

Comparitechの研究者たちは、YouTube、TikTok、Instagramから安全でないデータベースを発見した。公開されていたデータには、名前、連絡先情報、個人情報、画像、フォロワーに関する統計が含まれていた。これらはすでに保護されている。Social Dataの広報担当者はデータの取得が「内密」ではなかったと述べ、ユーザー自身がプロファイルを公開に設定しているため、公開データは誰でも入手できると付言した。(235,000,000人)

 

Instacart

同社は、サードパーティのサポートベンダーの従業員2人が理由なく顧客の個人データを確認したことが原因で発生したデータ侵害インシデントを公表した。見られた情報には、名前、Eメールアドレス、電話番号、運転免許証番号、および運転免許証のサムネイル画像が含まれる可能性がある。データがダウンロードされたか、または社内から削除されたことを示唆する証拠は見つからなかった。(2,180人)

 

Mental Health Partners

Mental Health Partners(MHP)は、データ侵害によりMHPのクライアントと従業員の個人情報がアクセスおよびダウンロードされた可能性があることを明らかにした。侵害された可能性のあるデータには、名前、生年月日、社会保障番号、パスポートおよびその他のID番号、銀行口座情報、医療記録情報などが含まれる。

 

Brookfield Residential Properties

同社は、サイバーセキュリティ・インシデントにより、攻撃者が「限られたファイルのサブセット」にアクセスできるようになったことを認めた。同社は、会社からデータを抜き取り、その後オンラインでダンプしたとする「DarkSide」ランサムウェアオペレーターの主張には応じていない。DataBreaches.netによると、漏洩したファイルには従業員情報が含まれている模様だ。

 

South Dakota Fusion Center

FBIは現在、緊急通報の処理を担当するSouth Dakota Fusion Center でのデータ侵害を調査している。侵害は2020年6月19日に発生し、患者の名前、住所、ウイルス・ステータスが流出した可能性がある。データは、2020年6月にサーバー侵害を明らかにしたNetsentialのサーバーに保存されていた。

 

CryptoTrader.Tax

CryptoTrader.Taxは、2020年4月7日に不正なアクターがカスタマーサービスの従業員のアカウントへのアクセス権を取得した際、データ侵害に見舞われた。攻撃者は顧客データを含む約13,000のレコードを盗むことに成功した。顧客データには、1,082件のユニークなメールアドレスが含まれる。顧客のパスワードは影響を受けなかった。その後、データはDarkWebフォーラム上に投稿され販売されている。(〜1,082人)

 

National Western Life

「REvil」ランサムウェアのオペレーターが、同社への攻撃に成功し、656GBのデータを盗み出したと主張している。このグループはまず、データリークサイトにスクリーンショットを投稿した。そこにはデータベースファイル、パスポート、契約書などのスクリーンショットが含まれていた。2020年8月23日、オペーレーターは同社のメールにもアクセスできると主張し、盗難データの約1%を流出させた。

 

Valley Health Systems

「REvil」ランサムウェアのオペレーターは、Valley Health Systemsを侵害し、そのクライアントと従業員に関するデータを盗んだと主張している。攻撃の証拠として、グループはフォルダのスクリーンショットと盗まれたデータの一部をアップロードした。これには処方箋、名前、生年月日、性別、患者IDなどの患者情報などが含まれる。

 

ベンチュラ整形外科

「Maze」ランサムウェアのオペレーターによるデータ流出事件に続き、「Conti」ランサムウェアの運営者は、ベンチュラ整形外科もデータ流出サイトに追加した。漏洩したデータには1,850のファイルが含まれており、氏名、生年月日、薬、検査所見などの患者ファイルが公開されていた。Conti Newsに投稿された情報は、Mazeが共有したものとは異なると報告されている。

 

コロラド州ラファイエット市

ラファイエット市は、2020年7月27日に発生した同市のオンラインインフラに対するランサムウェア攻撃に関するアップデートを発表した。攻撃の調査の結果、攻撃者は氏名、運転免許証やIDカード番号、医療情報など、住民の個人情報にアクセスした可能性があることが判明した。クレジットカードやデビットカードの情報は侵害されなかった。同市では、データが悪用されたことは把握していないという。

 

スペイン

Freepik Company

Freepik Companyは、FlaticonへのSQLインジェクションがFreekpikとFlaticonの両方に影響を与えたことを明らかにした。攻撃者は最も古参のユーザー830万人のEメールアドレスにアクセスし、そのうち377万人は自分のパスワードのハッシュも公開していた。(8,300,000人)

 

トルコ

RezzanGünday

同薬局は、従業員の不正行為から生じるデータ侵害に見舞われた。2019年以降、従業員は違法に患者データをコピーし、それを別の薬局に提供して、薬物の違法なサプライチェーンを構築したとされている。容疑者が入手したデータには、医療システムのID番号、電話番号、医療記録、雇用状況、関連する医療機関の情報が含まれる。

 

Kariyer.net

トルコのキャリアWebサイトのKariyer.netは、40,955人の個人と55,149件の記録に影響を与えるデータ侵害を受けた。ログイン資格情報と、名前、電話番号、写真、住所などの個人情報を含むファイルが、某公開Webサイトにアップロードされた。(40,995人)

 

インド

RailYatri

Security Detectivesは、会社が保有するセキュリティ保護されていない、公にアクセス可能なElasticsearchサーバーを発見した。データベースは2020年8月12日の「Meow」ボット攻撃によって破壊された。公開されていたデータには、氏名、年齢、性別、住所、メールアドレスなどのほか、クレジットカードおよびデビットカードの支払いログの一部が含まれていた。同社によると、問題のサーバーはテストサーバーにすぎないという。(〜700,000人)

 

カナダ

Canpar Express

同宅配会社から盗まれたとされるファイルがDarkWeb上に流出した。漏洩したファイルには、会社の内部業務に関する少量の情報が含まれていた。FreightWavesは、今回の漏洩が「Doppelpaymer」ランサムウェアの攻撃者によるものだと述べている。

 

Wellington-Dufferin-Guelph Public Health

同医療プロバイダーがデータ漏洩インシデントを公表し、2020年1〜5月の間に機密情報を含むダッシュボードが同組織のWebサイトで公開されたという。今回のリークには、患者の住所やインフルエンザ株、症状の詳細が含まれていた。クライアント名は流出しなかった。

 

ドイツ

フォルクスワーゲン

Contiランサムウェアのオペレーターは、ドイツのザルツコッテンに拠点を置くフォルクスワーゲン・グループのフランチャイズから盗んだと考えられるデータを公開した。漏洩データには、ワークショップサービスまたは自動車部品販売に関する請求書が含まれている。

 

 

バンキングに関連して言及された攻撃タイプ

このチャートはバンキングに関連して、先週トレンドとなった攻撃タイプを示しています。

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行と金融

米国サイバーセキュリティ・インフラセキュリティ庁、財務省、連邦捜査局、米国サイバーコマンドは、HIDDEN COBRAの一部とみられる北朝鮮の脅威グループ、BeagleBoyzが使用している手法を詳述した共同アドバイザリーを発表した。このグループは、インターネットへの遠隔アクセスを介して銀行強盗を行うことで知られており、少なくとも2014年から活動を開始し、世界中の金融機関から20億ドル近くを盗もうとしている。勧告では、2020年2月以降、同グループのATMキャッシュアウトスキームや詐欺的な国際送金が増加していると警告している。同グループに関連するマルウェアには、「CROWDEDFLOUNDER」「ECCENTRICBANDWAGON」「ELECTRICFISH」「FASTCash for Windows」「HOPLIGHT」「VIVACIOUSGIFT」などがある。

 

政府

国家防諜・安全保障センターのビル・エバニナ所長によると、イラン、中国、ロシア、キューバ、サウジアラビア、北朝鮮に関連する国民国家のアクターは、来るべきアメリカの選挙にサイバー脅威をもたらすという。キューバ、サウジアラビア、北朝鮮、その他の小規模な脅威アクターは、「ビッグ3」の他のアクターよりも能力が低く、利害関係が狭い可能性が高いとエバニナ氏は付け加えている。その他の選挙期間の懸念事項としては、投票に重要なマシンに対するランサムウェア攻撃の可能性や、投票結果を報告するネットワークに対する監視などが挙げられる。

 

テクノロジー

2019年後半から、White Opsの研究者は、2020年6月末に5,000以上のアプリを介して拡散され、6万5000台のデバイスに感染し、20億以上の入札要求を行っていた広告詐欺マルウェア「TERRACOTTA」を追跡した。アプリはGoogle Playストアで配布され、靴やチケット、クーポン、歯科治療などの無料アイテムをユーザーに提供していた。実際には、ユーザーのデバイスは、React Native開発フレームワークで書かれた制御モジュールがパッケージ化されたカスタムAndroidブラウザに感染していた。このマルウェアは、プログラマティック広告のエコシステムに販売される不正な広告インプレッションを生成することで、広告主を詐取するために使用されている。Google はそれ以来、TERRACOTTA トラフィックの急激な低下をもたらすテイクダウンアクションを実行している。

 

医療

Netskopeの調査員は、2020年4月からインドのユーザーを標的としたCOVID-19救援パッケージ詐欺の追跡を始めた。詐欺は主にFacebookやWhatsAppなどのソーシャルメディアを介して拡散し、ユーザーは偽の政府ロックダウン資金のページへのリンクを提示される。研究者は、資格情報は保存されていないため、詐欺の目的は資格情報を盗むことではなく、広告収入を集めることだと考えている。さらに分析を進めると、攻撃者はエジプト、ガーナ、インド、ケニア、マレーシア、ナイジェリア、南アフリカ、ウガンダなど、他の国でも同様の詐欺を仕掛けていたことが明らかになった。すべての攻撃は同じテンプレートに基づいており、1つのBlogspotプロフィールには23の詐欺リンクが掲載されている。

 

暗号通貨

2019年、F-Secureの研究者たちは、十数カ国の暗号通貨機関を標的とした「Lazarus」キャンペーンを特定した。攻撃者はLinkedInを利用して受信者のプロファイルに合わせた偽の求人情報を送り、アンチウイルス保護を無効にしたり、インプラントの証拠を削除したりすることで防御を回避していた。同グループは、最終的な目的を追求するために、ネイティブのオペレーティング・システム・ユーティリティとカスタム・マルウェアを組み合わせて使用している。研究者は、この攻撃は2018年1月から運用されているより広範なキャンペーンの一部であると述べている。同様のアーティファクトは、米国、英国、中国、ドイツ、ロシアを含む少なくとも14カ国で目撃されている。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-21-27-august-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。