2020.05.15

ウィークリー・サイバーダイジェスト – 2020年5月8日〜14日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

Sparboe Companies (米国)

Mazeランサムウェアの実行者は、2020年5月1日のランサムウェア攻撃で同社からデータを盗み出したと主張している。この実行者が証拠としてアップロードしたデータには、現在および過去の従業員データ、nest-runの在庫、経費報告書、怪我の報告書、ドックのスケジュールなどが含まれているようだ。

 

Southeastern Wire (米国)

Mazeランサムウェアの実行者は、同社のITシステムを暗号化する前に、データを盗み出したと主張している。同社に属する合計20GBのデータが流出したとされており、その中には給与明細や生産データ、税務関連文書など、機密性の高い企業データが含まれている。

 

Koller Craft LLC (米国)

同社はMazeランサムウェア攻撃の標的となり、同社のITシステムに影響を与えた。脅威アクターは攻撃の証拠として、暗号化前に同社から盗まれた未公開のデータを公開した。

 

マディヤ・プラデーシュ州政府  (インド)

セキュリティ研究者のRobert Baptiste氏は、同州政府のコロナウイルスWebポータルが、隔離された個人の情報を漏洩していると報告した。流出した情報には、氏名、デバイスID名・番号、所在地などが含まれている。

 

Stadler Rail  (スイス)

この鉄道車両メーカーは2020年5月7日、正体不明の攻撃者が同社のネットワークに侵入し、マシンを感染させたと述べた。また、データが流出した「可能性が高い」と明らかにした。インシデント後、攻撃者は多額の身代金を要求し、データを流出させると脅した。

 

Professional Association of Diving Instructions (米国)

セキュリティ研究者のBob Diachenko氏は、保護されていないElasticsearchサーバーに、全米潜水指導員協会(PADI)に属するデータが含まれていることを発見した。合計2,313,197件の記録が発見され、その中にはPADIに登録している個人の氏名、電話番号、メールアドレス、郵送先住所、生年月日などが含まれていた。

 

Grubman Shire Meiselas & Sacks (米国)

REvilランサムウェアの実行者は、この法律事務所から756GBのデータを盗んだと主張している。攻撃者は、「Lady Gaga」、「Madonna」、「Nicky Minaj」などのファイル名を含む、盗まれたフォルダのスクリーンショットを共有した。攻撃者は、契約書、電子メールアドレス、秘密保持契約書、私信などを持っていると主張している。

 

米国連邦保安局

同局は2019年12月30日、服役中の囚人と元囚人の個人情報が公開サーバーに含まれていると、米司法省から通知を受けた。流出されたデータには、住所、生年月日、社会保障番号などが含まれていた可能性がある。

 

DigitalOcean (米国)

顧客の個人情報が記載された内部文書が、一時的に公開されていた。その文書は、公開されている間に少なくとも15回アクセスされ、メールアドレス、ユーザー名、サポートノート、支払総額などの情報が詳細に記載されていた。

 

アシュタビューラ郡医療センター (米国)

同センターは、一部の患者に関する保護された健康情報を含むエクセルのスプレッドシートを誤ってWebサイトに公開した後、「データセキュリティインシデントのお知らせ」を公表した。インシデントが発生したのは2020年3月12日で、データには氏名、診断、健康状態、治療歴などの情報が含まれていた。

 

MobiFriends (スペイン)

Risk Based Security の研究者が、Deep Webハッキング フォーラムで配布されている 368 万人の MobiFriends ユーザーの資格情報を発見した。流出したデータには、生年月日、性別、Webサイトのアクティビティ、携帯電話番号、ユーザー名、メールアドレス、MD5 ハッシュドパスワードが含まれている。このデータはもともと「DonJuji」が売りに出していたもので、2019年1月のデータ侵害が原因とされている。(3,680,000人)

 

複数の企業

Shiny Hunterと呼ばれるハッカーグループが、Dark Webマーケットプレイスで11社のユーザー記録7,320万件を販売している。ハッカーが販売した情報の流出元は、Tokopedia、Homechef、Bhinneka、Minted、Styleshare、Ggumim、Mindful、StarTribune、ChatBooks、The Chronicle Of Higher Education、Zooskなど。BleepingComputerは、「未だ全てのインシデントは確認されていないが、これらの侵害が実際に行われた可能性は高い」と述べている。

 

Pitney Bowes (米国)

同社はMazeランサムウェア攻撃の標的となった。攻撃の証拠として、実行者は同社に属するディレクトリのスクリーンショットを公開した。現時点では、攻撃でどのようなデータが盗まれたのかは不明のままだが、同社は限られたデータであると考えている。広報担当者によると、同社は攻撃を検知し、直ちにデータの暗号化を回避するための措置を講じたという。

 

WeLeakData

Cybleの研究者は、現在は廃止されたWeLeakDataハッキングフォーラムとマーケットプレイスのデータベースが、Dark Web上でアクセス可能であることを報告した。データベースからは、メールアドレス、ユーザー名、パスワード、プライベートメッセージ、IPアドレスなどのメンバー情報が公開されている。このサイトのメンバーは、ほとんどがハッカー、研究者、クラッカー、サイバー犯罪者だった。

 

Toll Group (オーストラリア)

Toll Group は、最近発生した Nefilim ランサムウェア攻撃の詳細を発表し、攻撃者が少なくとも 1 台の企業サーバーにアクセスしたことを明らかにした。このサーバーには、Toll の過去および現在の従業員に関するデータや、過去および現在の企業顧客との商業契約が含まれていた。同社は現在、アクセスされたデータのうち、どのデータが流出したのかを特定しようとしている。

 

Magellan Health Inc (米国)

同社は2020年4月11日にランサムウェア攻撃を受け、その間に攻撃者は同社のシステムにアクセスし、企業のサーバーの1つから情報を盗み出した。これには、氏名や住所、従業員のID番号、社会保障番号、場合によっては従業員のパスワードやユーザー名など、会社の機密情報や個人情報が含まれている。

 

Orchard Villa Retirement Community (カナダ)

このケアホームでは、入居者の個人情報や健康情報が流出した可能性のあるデータ侵害について調査が行われている。同ケアホームは、この件について情報プライバシー委員会事務局に通知した。

 

複数の企業

Comparitechの研究者は、Google Firebaseを使用しているアプリの4.8%が、安全ではないデータベースを経由して機密性の高いユーザーデータを漏洩していることを発見した。約2万4,000個のアプリがデータベースの設定を誤っていると推定されている。データベースからは、メールアドレス、ユーザー名、パスワード、電話番号、フルネーム、チャットメッセージ、GPSデータ、IPアドレス、ストリートアドレスなどが漏洩していた。クレジットカード番号や本人確認書類が見つかったケースもあった。

 

Aeries Software Inc (米国)

この学生データ管理システムソフトプロバイダは、2019年11月4日頃、166件のデータベースに影響を与えるデータ侵害インシデントが発生したことを顧客に通知した。このインシデントでは、保護者および学生のログイン情報、住所、Eメール、学生のパーマネントIDが公開された。パスワードハッシュも公開された可能性がある。

 

HEPACO LLC (米国)

同社は、2019年8月8日から10月24日の間に、不正な人物が従業員のメールアカウントにアクセスしたと述べている。この侵害は、現在および過去の顧客と従業員に影響を与えている。アクセスされる可能性のある情報には、氏名、生年月日、社会保障番号、医療情報、クレジットカード番号、またはデビットカード番号などが含まれる。

 

ニューサウスウェールズ州政府(オーストラリア)

ニューサウスウェールズ州(NSW)政府は、2020年4月22日に悪質なフィッシング攻撃の被害に遭ったことを確認した。攻撃に関する調査の結果、不正な個人がService NSWの職員のメールアカウント47件にアクセスしており、そこに顧客の個人情報が含まれていた可能性があることが判明した。

 

North Shore Pain Management (米国)

同社の実務に関わるデータが、Akoランサムウェアのサイトに掲載されていた。4GBを超えるこのデータは、4,000個のファイルで構成されており、その多くは銀行口座情報や健康保険情報などをPDFスキャンしたものだった。この侵害により、患者や従業員の氏名、住所、治療コード、社会保障番号などが漏洩した。

 

ノバスコシア州政府 (カナダ)

1998年と2009年の間にノバスコシア州労働者補償控訴審裁判所によって行われた決定は、適切に情報を編集せずにカナダの法律情報研究所のサイトに掲載されていた。このインシデントで漏洩した情報には、労働者の名前、彼らの雇用者の名前、および個人情報が含まれている。

 

コロナウイルス流行に関連したマルウェアへの言及

このチャートはコロナウイルスに関連して、先週トレンドとなったマルウェアを示しています。

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

IBMの研究者は、2015年に初めて登場したバンキング型トロイの木馬「Zeus Sphinx」が、北米の銀行を標的に再び利用されていることを報告した。研究者が不規則に活動していると表現したこのマルウェアは、2019年後半に更新され、2020年第一四半期にはマルスパムキャンペーンを経由して拡散していたという。トロイの木馬への変更点には、新たな永続化メカニズム、インジェクション技術、ボットの設定などが含まれている。

 

重要インフラ

スイスに本拠を置く鉄道車両メーカーのStadler Railは2020年5月7日、正体不明の攻撃者が同社のネットワークに侵入し、マシンに感染したと発表した。同社は「非常に高い確率」でデータが流出したと明らかにした。事件後、攻撃者は多額の身代金を要求し、同社のデータを流出させると脅した。

 

政府

Check Pointの調査員によると、中国を拠点とするAPT Naikonは、オーストラリア、インドネシア、ベトナム、タイなどアジア太平洋地域の政府機関を標的にしているという。2015年から静かに活動しているように見えた同グループは、黙々とTTPやインフラを更新していた。攻撃者は、RoyalRoad RTF weaponizerなどの一般的なツールや、Aria-body backdoorなどの独自のツールを使用していた。研究者は、同グループの攻撃はスパイ活動に重点を置いていると述べている。攻撃者は、侵害された政府機関から攻撃を開始し、感染した省庁内の侵害されたサーバーをC2目的で利用するのが確認されている。

 

医療

ロイター通信と3人のサイバーセキュリティ研究者によると、バイオ製薬会社のギリアド・サイエンシズはこのほど、イランと連携したハッカーの標的にされたという。攻撃の1つは、偽Eメールのログインページを同社幹部に送信することに関係していた。ClearSkyのOhad Zaidenberg氏は、攻撃者はジャーナリストを装って、スタッフの電子メールアカウントにアクセスしようとしていると述べている。他の2人のサイバーセキュリティ研究者は匿名で、攻撃に使用されたホスティングサーバーとWebドメインはイランとリンクしていると述べている。攻撃が成功したかどうかは不明だ。イランは攻撃への関与を全面的に否定しており、同社はコメントを拒否している。

 

法律

2020年5月8日、裁判所管理局は、テキサス州司法支部の控訴裁判所および司法機関のITシステムに対するランサムウェア攻撃を検知した。これを受けて、Webサイトやサーバーを含む支部ネットワークは、これ以上の被害を防ぐためにシャットダウンされた。攻撃で個人情報が侵害されたことを示す証拠は見つかっていない。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-08-14-may-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。