2020.05.08

ウィークリー・サイバーダイジェスト – 2020年5月1日〜7日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

攻撃されやすいプロダクトの傾向

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

 

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

アラバマ労働局 (米国)

アラバマ労働局が立ち上げたパンデミック失業支援アプリに、他人の個人情報をユーザーに表示するエラーが含まれていた。流出されたデータには、氏名、住所、社会保障番号、銀行口座番号などが含まれていた。この問題はその後、修正されている。(4人)

 

Banco BCR (コスタリカ)

Mazeランサムウェアの運営者は2019年8月と2020年2月、銀行のネットワークにアクセスし、1,100万枚以上のクレジットカードを盗んだと、データ漏洩サイトで主張しており、そのうち400万枚は固有のものであるという。およそ14万枚のカードは、米国内の個人のものであることが明らかになっている。攻撃者は、240枚のクレジットカード番号の一部分を、有効期限とCVC番号とともに攻撃の証拠として投稿した。身代金の要求が満たされない場合、攻撃者はダークウェブ上でデータを販売すると脅している。(~4,000,000人)

 

Main Event Entertainment Inc (米国)

同社は、顧客の決済カードデータへの不正アクセスに関わるセキュリティインシデントについて、顧客に通知した。同社の調査により、一部のセンターのPOS(Point-of-Sale)デバイスに、支払いカードの追跡データを盗み出すように設計されたマルウェアが存在していることが判明した。このマルウェアは、2019年7月19日から2020年3月16日までの間にPOSデバイスに存在していた。

 

Le Figaro (フランス)

Security Detectivesの研究者が、フランスの新聞社Le Figaroに属するElasticsearchサーバーが漏洩しているのを発見した。サーバーには、8TB以上のデータと74億件以上の記録が含まれていた。このサーバに存在するデータには、少なくとも過去3ヶ月分のウェブサイトのAPIログが含まれていた。これらのログには、新しく登録された個人や、アカウントにログインした既存のユーザーの個人を特定できる情報が含まれており、メールアドレス、氏名、住所、クリアテキストのパスワード、MD5でハッシュ化されたパスワードなどが含まれている。一部の従業員データや、会社のバックエンドサーバーを公開した技術的なログも含まれていた。

 

Tokopedia (インドネシア)

Under the Breachの研究者は、ハッカーがオンラインフォーラムで 1500 万人分の Tokopedia ユーザーのアカウント情報を販売していたと報告した。これに続いて、9,100万人のTokopediaユーザーの詳細を含む大規模なダンプが販売された。公開された認証情報には、メールアドレス、氏名、生年月日、ハッシュ化されたユーザーパスワードや、場合によってはモバイルステーション国際加入者名簿番号などが含まれている。およそ20万件のユーザー名と破られたパスワードが、無料でオンライン上のハッキングフォーラムに流通している。(91,000,000人)

 

Supersonic (南アフリカ)

このインターネットサービスプロバイダーは、ユーザーがポータル画面に携帯電話番号を入力せずに資料請求を送信した場合、8人の顧客のデータを返してしまうという問題を修正した。漏洩したデータには、氏名、携帯電話番号、アカウント番号、ユーザー名などが含まれていた。また、Supersonicのアカウント番号は連番であるため、スクリプトを使ってデータを収集する可能性があったが、そのような攻撃が行われたことを示す証拠は見つからなった。

 

不明 (ポーランド)

2020年4月30日、ポーランドのデータ保護当局(UODO)は、SWPS大学へのランサムウェア攻撃を調査していると発表した。同大学は、影響を受けた従業員や学生への通知を怠っていた。

 

PeroxyChem (米国)

フィラデルフィア州に拠点を置くPeroxyChem社は、2020年4月24日にランサムウェア攻撃を受けたと報告している。同社が2020年5月1日に投稿したセキュリティ通知には、攻撃は「当社のコア企業インフラと少数のユーザーエンドポイントに一部影響を与えた」と記載されている。2020年5月2日、Mazeランサムウェアの運営者は犯行声明を出した。

 

Dakota Carrier Network (米国)

Dakota Carrier Network(DCN)は、2020年4月26日にランサムウェア攻撃を受けた為、システムをシャットダウンし、テープバックアップからデータを復元した。2020年4月30日、DCNは、Mazeランサムウェアの攻撃者が、盗まれたファイルの一部をオンラインで公開していることに気がついた。管理データのみと同社が述べているこの情報には、請求書や給与情報、パスワードリセット情報などが含まれている。

 

内務省 (オーストラリア)

The Guardian Australia紙は、内務省の雇用部門が運営するSkillSelectプラットフォームのデータが流出してることを発見した。このプラットフォームは、オーストラリアへの移住を希望する個人が利用している。データベースには、2014年までさかのぼる、774,326件のユニークなADUserIDと189,426件の完了したEOIが含まれていた。他の流出したデータには、申請者の出生国、年齢、資格、配偶者の有無、申請の結果などが含まれていた。(774,326人)

 

MJ Payne Ltd (英国)

2020年5月1日、Sodinokibiランサムウェアの運営者は、MJ Payne Ltdを標的にした攻撃を行ったと主張し、同社のディレクトリにあると思われるスクリーンショットを投稿した。クライアントデータや個別のファイルは投稿されていなかった。

 

Jio India(インド)

研究者の Anurag Sen氏は、セキュリティ上の過失により、Jioの新型コロナウイルス症状チェッカーが使用していたデータベースの1つが漏洩したことをTechCrunchに伝えた。このデータベースは、公開されて間もなく、2020年5月1日に発見された。流出した情報には、年齢、性別、医療情報、本人のユーザーエージェントなどの自己診断データが含まれていた。場合によっては、正確なジオロケーションデータも流出した。ログや記録は、2020年4月17日からデータベースが保護されるまでの期間を網羅していた。

 

GoDaddy Inc (米国)

GoDaddyは、2019年10月19日に発生した事件が、「(同社の)ホスティングアカウントでSSHに接続するために使用される、(同社の)ログイン情報へのアクセス」を取得する不正な人物に関係していたと、顧客に述べた。 通知書には、影響を受けたユーザーアカウントにおいて、ファイルが追加または変更された証拠はないと記載されている。 同社はまた、この事件はホスティングアカウントにのみ影響を及ぼし、メインのGoDaddyアカウントには影響を与えなかったとも述べた。(28,000人)

 

Roblox (米国)

Motherboardによると、ハッカーは、まず従業員に賄賂を送り、次に従業員をフィッシング攻撃によって攻撃することで、Robloxのバックエンドのカスタマーサポートパネルにアクセスしたのことだ。 加害者は、データの閲覧、2要素認証の無効化、パスワードの変更、ユーザーの禁止などを行うことができた。 Robloxの広報担当者は、この事件は「非常に少数の顧客」に影響を与えたと述べた。

 

Granity Entertainment (アイルランド)

Safety Detectivesの研究者は、成人向けライブストリーミングサイト「CAM4 [.] com」に関連するユーザーと会社の情報を含む、保護されていないデータベースを発見した。この データベースはGranity Entertainmentが所有しており、同社はその後データベースを保護した。 データは、7TBを超える108.8億のレコードで構成され、プロダクションログは2020年3月16日まで遡る。公開されたデータには、氏名、出身国、支払いログ、メールアドレスなど、個人を特定できる情報が含まれていた。

 

Tesla Inc (米国)

エイリアス「Green」の下で活動しているハッカーは、過去のユーザー情報を公開させた、使用済みのTeslaコンピューターを取得したと、Electrekに知らせた。 アクセス可能な詳細には、GoogleやSpotifyのユーザー名、暗号化されていないパスワードなどの項目が含まれる。Greenは、テスラが「盗まれた」とするコンピュータは、テスラのサービスセンターのゴミ箱で見つかる可能性があると主張した。 Electrekは、人々がコンピューターを探して「ごみ箱漁り」をし、オンラインで販売していたか、あるいはテスラの社員がそれらを販売していたと推測した。

 

MAS Holdings (スリランカ)

この衣料品メーカーは、Nefilimランサムウェア攻撃の標的にされた。同社のものと推測されるデータが、数週間前にランサムウェアオペレーターのサイトに投稿されており、その後削除された。オペレーターは、300GBの企業データを盗んだこと、以前漏えいした情報を追加データとともに再アップロードしたことを、現在主張している。

 

BJC HealthCare (米国)

2020年3月6日に、権限のない個人が従業員3人の電子メールアカウントにアクセスし、患者の個人情報を公開した可能性がある。 公開された可能性のあるデータには、名前、生年月日、医療記録、または患者のアカウント番号のほか、いくつかの治療情報あるいは臨床情報、もしくはその両方が含まれる。 場合によっては、健康保険情報と社会保障番号も公開されている可能性がある。

 

Cactus SA (ルクセンブルク)

悪意のランサムウェアオペレーターが、スーパーマーケットチェーン「Cactus」のシステムを侵害したと主張している。 証拠として、グループは「Cactus」に属しているとされるファイルをアップロードし、さらにデータを公開すると脅迫した。

 

アルゼンチン連邦警察

Cybleの研究者は、アルゼンチン連邦警察に属するデータがオンラインで漏洩したことを発見した。 漏洩には、電子メールドキュメント、盗聴記録、警察官の個人写真、犯罪事件報告などの機密性が高く、公にしにくい情報を含む、約259GBのデータが含まれている。

 

Ann & Robert H. Lurie Children’s Hospital of Chicago (米国)

病院は患者にデータ侵害通知を発行し、2018年11月1日から2020年2月29日までの間に、ある従業員が業務に関わる理由なく患者データにアクセスした可能性があると述べた。アクセスされる可能性のあるデータには、名前、住所、生年月日、および 医療情報が含まれる。 社会保障番号、保険情報、金融口座情報にはアクセスされなかった。

 

Advanced Computer Software Group Limited (米国)

TurgenSecの研究者たちは、この会社が所有および運営する公的にアクセス可能なデータベースを特定した。このデータベースには193の法律事務所のデータを含まれている。 研究者たちは、全ての事務所がスタッフのデータを侵害されたと述べた。 公開された情報には、ユーザー名、ハッシュ化されたパスワード、IDなどが含まれる。 一部の事務所は、名前、住所、パスポート番号、会社の詳細、およびその他の機密データを含む書類も公開された。

 

Kristin J. Tarbet, MD (米国)

マルウェア運営者によると、ワシントンを拠点とする形成外科「Kristin J. Tarbet, MD」の運営企業が、Mazeランサムウェアの攻撃を受けている。犯罪者は、2020年5月1日に同社を攻撃したと主張している。攻撃者は、同社に属しているとされるファイルを自らのWebサイトにダンプした。 公開された情報には、患者の名前、電子メールアドレス、生年月日、医療情報などが含まれる。(〜22,000人)

 

Unacademy (インド)

2020年5月3日、Cyble Incの研究者たちは、21,909,707件のユーザーレコードを含むUnacademyのデータベースを特定した。データベースは、オンライン上で2,000ドルで販売されている。 公開されるデータには、ユーザー名、SHA-256でハッシュされたパスワード、メールアドレス、アカウントのステータスなどが含まれる。 Cyble Incは、データベースにはGoogle、Facebook、InfoSysなどの企業からのメールが含まれていると述べた。 Unacademyは、1100万のアカウントだけが影響を受け、パスワードは公開されていないと主張する声明を発表した。

 

Maxwell Aesthetics (米国)

Mazeランサムウェアのオペレーターは、2020年5月1日にナッシュビルを拠点とする形成外科を標的にしたと主張している。この攻撃者は、名前、生年月日、診断情報など、同社の患者に関する保護された健康情報を含むファイルをアップロードした。

 

コロナウイルス流行に関連して言及されたマルウェア

このチャートは、コロナウイルスのアウトブレイクに関連して、先週話題になったマルウェアを示しています。

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

Bitdefenderの研究者たちは、南アフリカ・スタンダード銀行の顧客を狙った新しいフィッシングキャンペーンを観察した。 メールは銀行になりすましており、コロナウイルス蔓延により、経済的に影響を受けた顧客を支援するための財務戦略を提供する建前を取っている。 ユーザーは、添付ファイルをクリックして政府発行の財政的救済を受けるよう促され、偽のログインページにリダイレクトされる。このログインページは、ユーザーの銀行の資格情報を盗むために使用される。

 

政府

インド政府は、合法的なCOVID-19連絡先追跡アプリ「Aarogya Setu」として表示されるように作成された、悪意のあるアプリについて軍事担当者に警告を発した。 パキスタンの工作員が、インド軍に属するWhatsAppグループにこの悪意のあるアプリを送信していると伝えられている。ユーザーは、 政府のWebサイトまたは公式アプリストアからのみ、Aarogya Setuをダウンロードするよう要請されている。

 

教育

2020年5月3日、Cyble Incの研究者たちは、21,909,707件のユーザーレコードを含むUnacademyのデータベースを特定した。データベースは、オンライン上で2,000ドルで販売されている。 同社はインド最大のオンライン学習プラットフォームの1つだ。公開されるデータには、ユーザー名、SHA-256でハッシュされたパスワード、メールアドレス、アカウントのステータスなどが含まれる。データベースにおける最新のアカウントは、2020年1月26日のもの。Cyble Incは、データベースにはGoogle、Facebook、InfoSysなどの企業からのメールが含まれていると述べた。 Unacademyは、1100万のアカウントだけが影響を受け、パスワードは公開されていないと主張する声明を発表した。BleepingComputerはデータを見た後、同社の主張に異論を唱えた。BleepingComputerはまた、Unacademyのさらなるデータを盗んだと主張するハッカーに話しかけた。

 

ヘルスケア

2020年5月5日、英国の国家サイバーセキュリティセンター(NCSC)と米国国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は、新型コロナウイルス対応を標的として行われているAPT活動について警告する共同勧告を発表した。脅威アクターは、国際レベルおよび国内レベルで活動する事業体を標的としていると報告されている。標的は、医療機関、製薬会社、医学研究機関、学術機関、地方自治体などが含まれる。CISAとNCSCは、大規模なパスワード・スプレー・キャンペーンを通じてデータへのアクセスを試みるAPTを調査している。今回の勧告は、攻撃者が個人情報や知的財産、「国益と整合するインテリジェンス」の獲得を目指していると警告した。

 

暗号通貨

最近になってChromeウェブストアから49個のChrome拡張機能を削除した後、プラットフォーム上でさらに、11個の悪質な拡張機能が確認された。MyCryptoのHarry Denley氏がニュースサイト「The Register」に語ったところによると、11の拡張機能のうち少なくとも8つが削除された。これらの拡張機能は、KeyKeep、Jaxx、Ledger、MetaMaskなどのクリプトウォレット・ソフトウェアを装っている。ダウンロードすると、拡張機能はユーザーに認証情報を入力するよう求め、その時点で攻撃者に情報が流出するようだ。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary: 01 – 07 May 2020

https://www.silobreaker.com/threat-summary-01-07-may-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。