2020.10.16

ウィークリー・サイバーダイジェスト – 2020年10月9日〜10月15日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

Sam’s Club

一部の顧客に対し、アカウントが不正な第三者によって侵害された可能性があると通知している。同社によると、侵害されたクレデンシャルは同社から盗まれたものではなく、他社に影響を与えたクレデンシャル・スタッフィング、フィッシング攻撃、もしくはデータ侵害によって取得されたものである可能性が高いという。

 

Friendemic

セキュリティ研究者のAaron Phillips氏は、2020年9月12日に同社に起因するデータ流出を発見した。同社は認証なしでアクセス可能なAmazon S3バケットにデータを保存していた。名前や電話番号、メールアドレスなど270万件以上の記録が流出した。

 

ジョージア州福祉局

ハッカーは2020年5月3日から5月15日の間に、児童保護サービスに関わる成人と子供の個人情報を含む、一部従業員のEメールアカウントにアクセスした。これには、氏名、居住地の郡、事例番号と識別番号、社会保障番号、メディケイドの識別番号などが含まれている。

 

Docsketch

同社は、2020年8月上旬に不正な第三者が自社データベースのコピーにアクセスしたことを、顧客にメールで通知した。同社は、攻撃者がユーザーやその受信者がフォームフィールドに入力した情報を見ることができたと述べている。流出データには、ログイン情報のほか、氏名、署名、ペイメントカードの詳細などが含まれていた。同社は、すべてのパスワードはソルト化、ハッシュ化されているとしている。

 

EW Wylie

Freight Wavesは、このトラック運送会社から盗まれたとされる数千の内部ファイルを、「Conti」ランサムウェアのオペレーターがDarkWebサイトで公開したと報告している。その文書には、トラック運転手の旅行報告書や「かなりの量の個人情報」が含まれている。

 

Playback Now

Malwarebytes社の研究者が同社のIPアドレスでホストされている「Magento」のサイトを数十件確認したところ、クレジットカードのスキマーコードが注入されていることが判明した。攻撃者は、最近登録された同社になりすますドメインで、コードを提供し、盗まれたデータを収集していた。研究者は、影響を受けたサイトが脆弱なバージョンの 「Magento CMS」を実行していたことが攻撃の原因ではないかと推測している。

 

ハワイ州

同州は現在、2020年9月18日から9月21日の間に州司法長官のWebサイトを通じて旅行免除を申請した人に影響を与える可能性のあるデータ侵害を調査している。システムが悪用され、名前や電話番号、州の身分証明書のコピーなど、他の申請者の個人情報にアクセスできた可能性がある。実際にデータが漏えいしたかどうかは不明で、システムはその後修正されている。(~150人)

 

HomeWAV

この刑務所ビデオ訪問サービスのプロバイダーが、同社のデータベースの1つのダッシュボードをインターネット上で公開していたことを、セキュリティ調査員のBob Diachenko氏が発見した。同社CEOによると、保護されていないデータベースは、サードパーティ製のベンダーが原因で公開されたという。流出したデータベースにより、被収容者の家族や友人、弁護士への通話のログやテープ起こしにアクセスできるようになっていた。

 

Walled Lake Consolidated Schools District

このミシガン州の学区が、2020年10月11日に公表されたサイバー攻撃の標的となった。同学区の声明によると、攻撃者は学校のシステムへの侵入に成功し、「クレデンシャルやその他の情報」にアクセスした可能性があるという。

 

Oswego Health

ニューヨークに拠点を置くこの医療システムが患者に送った文書よると、2020年6月11日から6月15日の間に、従業員のメールアカウントの1つに対する不正アクセスがあったことが発覚したという。Becker’sは当初、同社の侵害が6月17日に発生したと報告していたが、これは2020年6月16日に侵害された従業員のメールアカウントに言及したものだった。DataBreaches[.]netは、この2つのインシデントは関連している可能性が高いと指摘している。

 

Metaformers Inc

同社のセキュリティインシデントにより、レキシントン市の現職および元職員570名の個人情報が漏えいした可能性がある。漏えいした可能性のあるデータには、社会保障番号、住所、生年月日などが含まれている。漏えいの原因は、2020年7月に発生した同社のEメールサーバーに対するサイバー攻撃だった。(570人)

 

Intcomex

CyberNewsの研究者は、ロシアの人気ハッカーフォーラムで同社のデータが流出しているのを発見した。第一弾は9月14日に、第二弾は9月20日に流出していた。犯人は当初、データベース全てを、期間を明かさずに公開すると述べていた。データベースの中には完全なクレジットカード情報、書類スキャン、社会保障番号、生年月日、住所、財務書類、従業員情報などが含まれていると報告されている。

 

Barnes & Noble

この書店は2020年10月10日にサイバー攻撃を受け、その間に攻撃者は企業のシステムや顧客の個人データにアクセスした可能性がある。アクセスされた可能性のある情報には、メールアドレス、請求先や配送先の住所、電話番号、購入履歴などが含まれている。BleepingComputerは、今回のインシデントはランサムウェア攻撃である可能性があると推測している。

 

アラブ首長国連邦

Airlink International UAE

Cyble Incの研究者は、同社の漏えいデータを2つのDarkWebプラットフォームで共有している脅威アクターを特定した。最初のデータ漏洩は、2020年5月30日にDefCon Labによって最初に報告されたもので、サーバーの設定ミスが原因だった。脅威アクターによって共有されたデータは、パスポートスキャン、フライト予約、ホテル予約などを含む14個のフォルダと53,555個のファイルで構成されている。

 

インド

Dr Lal PathLabs

同社は、患者データの入った数百件のスプレッドシートをパスワード保護なしでAWSのバケットに保存していた。2020年9月にセキュリティ研究者のSami Toivonen氏によって発見されたこのリークには、患者の名前、生年月日、住所、電話番号などの「個々の患者の予約情報が数百万件」含まれていたとされている。情報がどのくらいの期間公開されたのか、また第三者が閲覧したり入手したりしたのかは不明だ。

 

Indian Railway Catering and Tourism Corporation

Cyble Incの研究者は、この鉄道会社の記録を含むとされるデータをDarkWeb上で共有しているユーザーを確認した。この情報は2019年のデータリークから取られたものであるとされる。研究者がデータを分析したところ、携帯電話番号、生年月日、性別、配偶者の有無、名前、都市、州など、少なくとも90万行のユニークなユーザー情報が含まれていることが判明した。

 

トルコ

Bitexlive

CyberNewsは、この暗号通貨取引プラットフォームがソケットを介してサポートチケットを公開したことで、サイト訪問者は誰でもサポートチケットに関連する情報を閲覧可能になっていたと報じた。情報には、リクエストの時間、チケット作成者の名前とメールアドレス、チケットの全文などが含まれていた。この問題は会社に報告され、解決されたようだ。

 

ドイツ

Software AG

同社は2020年10月3日にサイバー攻撃の標的となり、その間に従業員のノートPCやサーバーからデータがダウンロードされた。BleepingComputerによると、攻撃には「Clop」ランサムウェアが関与していたという。攻撃者は約1TBのデータを盗まれたと主張しており、そこには報告書や文書、連絡先リスト、メールのやり取りなどが含まれているという。以降、同社は、盗まれたデータがハッカーによって公開されたと述べている。

 

英国

Lonrho

「Avaddon」ランサムウェアのオペレーターがロンドンに拠点を置くこの投資会社に向けて発行した漏えいの警告を、Cyble Incの研究者が発見した。同アクターは、同社から流出したとされる「Finance」と題されたフォルダ内のファイル74.5GB分の証拠を公開し、2020年10月15日頃にファイルをリークすると脅した。

 

シンガポールなど

複数のIPカメラ

ハッカーは、インターネットプロトコル(IP)カメラから撮影した3TBの映像を盗み出し、ポルノサイトに流出させたと報じられている。映像の大半はシンガポールのIPカメラからのものと見られるが、タイや韓国、カナダの被害者もいるという。

 

ニュージーランド

Fisher & Paykel

「Nefilim」ランサムウェアのオペレーターが、同社から盗まれた文書の第三弾を公開した。これは主に財務文書で構成されていると見られる。第一弾と第二弾は、同社に対するランサムウェア攻撃の後、2020年6月と7月に公開されていた。

 

重要インフラに関連して言及されたマルウェア

このチャートは重要インフラに関連して、先週トレンドとなったマルウェアを示しています。

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

360 Total Security の研究者が、主にブラジルで活発な新しいトロイの木馬の配布フレームワーク「SolarSys」を発見した。このフレームワークは、JavaやMS HTML Helpなどのプログラム向けの偽MSIインストーラを使用して配布されている。また、複数のモジュールで構成されており、ログイン認証情報や閲覧履歴などを収集するGoogle Chromeブラウザ用の盗用モジュールや、ユーザーの閲覧行動を検知し、ブラジルの複数の銀行に対応した不正なバンキングインターフェースを提示するバンキング型トロイの木馬が含まれている。

 

政府

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と連邦捜査局が共同で行った警告によると、APTアクターがWindows Netlogonの重大な欠陥「CVE-2020-1472」(別名「Zerologon」)と古い脆弱性を一緒に標的にしているという。この攻撃は多くの場合、連邦政府、州政府、地方自治体、部族の政府、領土の政府のネットワークを標的にしている。一部のケースでは、攻撃者は選挙支援システムにアクセスすることができたが、CISAは、選挙データは侵害されていないようだと述べている。

 

教育

Malwarebytesの研究者は、イランにリンクした脅威アクターである「Silent Librarian」が、継続的に行われている一連のフィッシングキャンペーンにおいて、世界中の大学を標的にしていることを確認した。このグループは、ターゲットとなる組織を模したサブドメインを登録しており、トップレベルのドメインだけが異なる。数多くのフィッシングサイトが発見されたが、そのほとんどがホスティングの出所を隠すためにCloudflareを利用している。研究者によると、同グループのサイトの多くは削除されたものの、現在「Silent Liberarian」は一歩先を行っており、一度に多くの可能性のあるターゲットを標的にし続けているという。

 

法律

米法律事務所Seyfarthは、2020年10月10日に同社のシステムの多くを暗号化した「高度で攻撃的な」ランサムウェアによる被害を受けたと表明した。同社によると、メールシステムを含む多くのエンティティが同時に攻撃の影響を受けたという。攻撃中にクライアントや企業のデータにアクセスしたり、削除されたりしたことを示す証拠は見つかっていない。

 

暗号通貨

ZDNetが、ウォレットアプリ「Electrum」のユーザーに対する攻撃で、盗まれた資金を集めるために使用されていた複数のビットコインアカウントを発見した。攻撃は2019年から2020年にかけて行われ、直近では2020年9月に発生している。キャンペーンには、Electrumウォレットのユーザーにポップアップメッセージを介して送信される偽の更新リクエストが関与していた。2018年に初めて観測されたこの手法は、攻撃者がElectrumの抜け穴を悪用し、誰でもElectrumXのゲートウェイサーバーを設定できるようにしている。更新されると、ユーザーの資金が盗まれ、攻撃者のビットコイン口座に送られてしまう。

 

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-09-15-october-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。