2020.05.22

ウィークリー・サイバーダイジェスト – 2020年5月15日〜21日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

オーストラリア

MyBudget

同社がランサムウェア攻撃の標的となった結果、会社の支払いサービスとメッセージングサービスだけでなく、アプリおよびクライアントポータルを含む、全国的なシステム障害が発生した。現在、「重要なデータ」にアクセスされたことを示唆する証拠は見つかっていないが、同社はデータの安全性を保つ方法について顧客と社員に助言している。

 

西オーストラリア州

2020年3月23日、同州のサブスクリプション管理メールに不正な個人がアクセスしたため、WAtodayサブスクライバーの個人データが侵害された可能性がある。これには、名前、電話番号、Eメールアドレス、および自宅の住所が含まれる。

 

英国

City Index

2020年5月8日、この金融取引およびスプレッドベッティングサービスのプロバイダーは、ネットワークが不正な第三者によってアクセスされたことを明らかにした。2020年4月14日に発生したこの事件では、名前、生年月日、性別、銀行の詳細情報が公開された。

 

Interserve

同社はサイバー攻撃の標的にされ、「一部の運用サービスが影響を受ける可能性がある」と報告した。攻撃の結果、氏名、住所、銀行の詳細、給与情報などを含む、現在および以前の従業員データが盗まれた。(100,000人)

 

LeaseSolution

TurgenSecの研究者は、公然とアクセス可能な同社のデータベースを発見した。その中には 600 万件のエントリと 150 以上のファイルが含まれていた。この漏洩は、ロールスロイス、テスコ、サムスンなど少なくとも9社に影響を与えており、研究者はこれらの企業がLeaseSolutionの顧客であると考えている。同社はその後、公開アクセスを制限している。

 

easyJet

この航空会社は、ハッカーが「高度に洗練された」攻撃で顧客のEメールや旅行の情報にアクセスしたと報告した。2,000人以上の顧客のクレジットカード情報もアクセスを受けた。同社は個人情報が悪用されたことを示唆する証拠はないと述べている。(9,000,000人)

 

Serco

現在英国政府に代わって、コロナウイルスの症例を追跡するためのスタッフを訓練しているこのアウトソーシング会社は、複数の新しい研修生のメールアドレスを漏洩した。このインシデントは、あるスタッフが新しい研修生たちのメールアドレスを、彼らに送信するEメールのCC欄に誤って入力した際に発生した。(300人)

 

Páramo

この衣料品小売業者は、自社Webサイト上でMagecartマルウェア感染を発見した。感染は、検出されずに約8か月間続いていた。2019年7月から2020年3月までに3,734人分のカード情報が盗まれ、そこには名前、住所、カード番号、CVVコードが含まれる。(3,734人)

 

ロシア

CDEK Express

900万人の同社顧客の個人データを含むデータベースが、現在オンラインで販売されている。伝えられるところによるとデータベースには、商品の配達と場所に関する情報だけでなく、納税者番号などの顧客の個人情報も含まれている。同社は、自社でデータ漏洩は発生していないといい、個人データは提携している他の会社によって収集され、漏洩はそこで発生した可能性があると付け加えた。

 

ロシア内務省の交通安全総局

同国の自動車所有者1億2900万人の氏名、住所、パスポート番号などを含むデータベースが、現在ダークネットフォーラムで販売されている。伝えられるところによると、データはロシア内務省の交通安全総局の登録簿から漏洩した。(129,000人)

 

モスクワ市

外出禁止違反の罰金を支払うために市民が使用しているWebポータルに、罰金のチケット番号を入力すると、ユーザーのフルネームとパスポート番号が表示されると、ブログ『Nora Ezhika』が報告した。ブログでは、チケットの写真をオンラインで共有しないようユーザーに警告している。セキュリティ研究者のAlexey Drozd氏は、単純なブルートフォース攻撃でアクセスできるため、ユーザーはこのデータを表示するためにチケット番号さえ必要ないと述べている。

 

米国

ライト郡

2019年1月31日、同郡は郡のEメールアカウントでの異常なアクティビティを識別した。調査の結果、郡のネットワークにある11個の電子メールアカウントにアクセスできた可能性があることが判明した。漏洩データには、名前、生年月日、社会保障番号、健康保険情報などが含まれる可能性がある。(12,320人)

 

アーカンソー州とイリノイ州のパンデミック失業支援

あるコンピュータープログラマーは、アーカンソー州のパンデミック失業支援プログラムに、約30,000人の応募者の情報へのアクセスを可能にする脆弱性が含まれていることを発見した。漏洩データには、銀行口座番号、社会保障番号、ルーティングナンバーなどが含まれる。この問題は、2020年5月15日に州知事によって確認された。また2020年5月17日、イリノイ州知事のスポークスパーソンは、パンデミック失業支援プログラムが個人情報を漏洩する欠陥の影響を受けたことを明らかにした。

 

Management and Network Services LLC

同社は、2019年4月から7月の間に、不正な個人が複数の従業員のメールアカウントにアクセスしたことを示す侵害通知を発した。アカ​​ウントには、名前、治療情報、生年月日、社会保障番号など、クライアントの患者の保護された健康情報が含まれていた。(30,132人)

 

Santa Rosa & Rohnert Park Oral Surgery

この外科は、2019年12月20日から2020年3月11日の間に従業員のメールアカウントが侵害され、その間に患者の保護された健康情報が攻撃者によって閲覧または取得された可能性があることが発見した。

 

Orchard Medical Consulting

同社は、不正な個人が名前、生年月日、そして場合によっては社会保障番号や患者の医療情報を含む、従業員のメールアカウントにアクセスしたと報告した。データへのアクセス、盗難、悪用を示唆する証拠は見つからなかった。

 

Edison Mail

Edison MailアプリのユーザーはTwitterにアクセスし、The Vergeに連絡して、「デバイス間でデータを同期できるようにするための更新を適用した後、他のユーザーのデータが表示される可能性がある」と報告した。Edison Mailは、アップデートのバグが「ユーザーのごく一部に公開された」ことを認めた。(64,000人)

 

Stop & Shop

同社によると、ニュージャージー州の3店舗、コネチカット州の1店舗、マサチューセッツ州の1店舗が、「shimmer」と呼ばれる不正なスキミング装置に感染していたという。この問題は、各店舗のセルフレジのレーンの1つに影響を与えた。デバイスの取引データは、5日間の期間をカバーしていた。

 

Sherwood Food Distributors

ランサムウェア「REvil」の運営者が、盗まれたと見られるデータのプレビューを投稿した。投稿されたデータは2020年5月15日に公開されたもので、約2,300個のファイルが含まれている。漏洩した情報には、キャッシュフロー分析、サブディストリビュータや独自のベンダーの情報、スキャンされた運転免許証の画像などが含まれている。

 

PsyGenics Inc

2020年5月18日、顧客の詳細を含むExcelスプレッドシートを従業員が個人のメールアドレスに転送した後、同社は影響を受けた個人に対してデータ漏洩を通知し始めた。2020年3月24日に共有されたこのスプレッドシートには、氏名、診断コード、予約時間、プロバイダー名が含まれていた。

 

コロラド労働雇用局

同局は、州のパンデミック失業支援サイトで、6人の申請者が他の申請者のデータを閲覧できる状態になっていた問題を指摘された。これには社会保障番号が含まれていた可能性がある。エラーは修正された。(72,000人)

 

BlockFi

この暗号通貨の貸付業者は、顧客のアカウントアクティビティ情報、Eメールアドレス、住所が流出したデータ漏洩を顧客に通知した。社会保障番号や政府発行のIDは公開されておらず、顧客の資金にも影響はなかった。この侵害は2020年5月14日に発生したもので、同社従業員の電話番号を狙ったSIMカードスワップ攻撃の結果だ。この過程で攻撃者は顧客の資金を引き出そうとして失敗したという。

 

Geisinger Wyoming Valley Medical Center

同医療センターは、従業員が業務上の必要性がないのに、800人以上の患者のカルテにアクセスしたと報告した。悪意のあるアクセスを受けていないことが判明した調査の結果、カルテは2017年7月から2020年3月までの間に漏洩していたことが判明した。漏洩情報には、病状や社会保障番号、氏名、生年月日、メールアドレスなどが含まれていた。(800人以上)

 

バンク・オブ・アメリカ

同社は、データ侵害の通知を顧客に発し、Paycheck Protection Programのローンを申し込んだ個人の一部が影響を受けると述べている。漏洩データには、納税者番号、氏名、電話番号、メールアドレス、住所、社会保障番号などが含まれていた。

 

Science Mobile LLC

ハッカーが複数のハッキングフォーラムで、4,000万人のWishboneアプリユーザーのデータを0.85ビットコイン(約8,000ドル)で宣伝している。攻撃者は、2020年初頭に行われたハッキングでデータを入手したと主張している。データサンプルが流出し、そこにユーザー名、Eメール、電話番号、都市/州/国、ハッシュ化されたパスワードなどが含まれていることを示している。(40,000,000人)

 

キプロス

Covve Visual Network Limited

セキュリティ研究者のTroy Huntは、90GB近くの個人情報を含み、公然とアクセス可能なElasticsearchインスタンスを分析した。リークの原因は当初は不明だったが、Covve Visual Network Limitedが原因であることを認めている。同社は、時代に合わず廃止されたシステムの1つに、不正な第三者がアクセスしたと述べた。漏洩データには名前と連絡先の詳細が含まれていたが、同社はそのデータを特定のユーザーに関連付けることはできないといい、パスワードは侵害されていないと述べた。(90,000人)

 

日本

日本経済新聞社

2020年5月8日に社員が悪意のあるEメールの添付ファイルを開いた後、同社はサイバー攻撃を受けた。この添付ファイルは、社員のコンピューターを未特定のウイルスに感染させた。その結果、同社の役員、正社員、アルバイトらの氏名、メールアドレスが漏洩した。同社は、データの悪用を検出していないと述べた。

 

EU

欧州人民党

Shadowmapの研究者たちは、欧州議会で選出された1,200人の議員や職員、さらにジャーナリスト、党員、その他のEU機関のメンバーの15,000アカウントのデータを含む、安全でないデータベースを発見した。漏洩データには、ハッシュ化されたパスワード、職務内容、およびその他の個人情報が含まれていた。この党はその後、Eメールアドレスとパスワードを含むデータベースが漏洩したことを確認し、それが古いデータベースであることを付言した。その後、データはオフラインになった。(16,200人以上)

 

ルクセンブルク

ルクセンブルクの司法制度

2020年5月19日、ルクセンブルク・ウォート紙は、約1GBのデータが報道関係者に渡ったと報じた。漏洩情報には、内部のメモや報告書、メールのやりとり、個人情報などが含まれている。

 

ブラジル

Natura&Co

Security Detectivesの調査員は、ブラジル企業のNatura & Coが所有し、Amazonがホストする272GBのサーバーと、1.3TBのデータを持つサーバーを発見した。同社は漏洩を知らされ、それ以降はサーバーのセキュリティを確保している。漏洩データには、同社顧客の個人データや、第三者会社 Wirecard に関連する 40,000 人の顧客からの支払い情報が含まれていた。これには、氏名、母親の旧姓、生年月日、国籍、Eメールや住所などが含まれていた。さらに、ソルトでハッシュ化されたパスワードを含む、ログイン認証情報も漏洩した。(250,000人)

 

ドイツ

Fresenius Medical Care

Snakeランサムウェアの運営者が、同社に属する少量の医療情報や個人情報をペーストサイトで公開した。漏洩情報には、氏名、生年月日、職業、住所、電話番号などが含まれている。また、流出した詳細情報には、医師のメモや近親者の情報も含まれている。攻撃者は今後、さらに多くのデータを流出させると述べている。

 

コロナウイルス流行に関連したマルウェアへの言及

このチャートはコロナウイルスに関連して、先週トレンドとなったマルウェアを示しています。

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

Quick Healの研究者は、インドの協同組合銀行に対するスピアフィッシングキャンペーンを観測した。このキャンペーンでは、インド準備銀行(RBI)やその他の大規模な銀行組織を装ったメールが送られてきており、添付されたZIPファイルの中に、パンデミックが流行している中での新しいRBIのガイドラインに関する詳細があると主張している。ZIPファイルには、PDFやExcel文書として表示されるように作られた悪質なJARファイルが含まれている。ファイルが開かれると、Adwind RATが実行される。このマルウェアは、キーロギング、スクリーンショットのキャプチャ、追加のペイロードのダウンロード、ユーザー情報の取得が可能だ。

 

重要インフラ

Symantecの研究者は、Greenbugが南アジアの通信会社を標的にしていることを観測しており、早ければ2019年4月にも1社が標的にされていたと考えられている。このグループはイランに拠点を置き、Shamoonグループとの関連が疑われている。このキャンペーンでは、データベースサーバーへのアクセスを獲得し、資格情報を盗み出し、標的ネットワーク上で目立たない存在感を維持するために、既製ツールとLotLの手法を混合したものを使用している。初期の感染ベクターはEメールを介しているようで、研究者は、Greenbugが公開されているCovenantポストエクスプロイト・フレームワークを利用することで初期の足掛かりを得ていると考えている。さらに、MimikatzやPlinkなどのツールも使用されている。

 

政府

Agari の研究者は、ナイジェリアのサイバー犯罪グループ「Scattered Canary」が、コロナウイルスをテーマにした様々な詐欺スキームに関与していることを報告した。このグループは、CARES法の給付金の不正請求を行い、米国のいくつかの州で大量の失業給付詐欺を行っていることが判明した。このグループは、いわゆるGmailの「ドットアカウント」を利用して、標的ウェブサイト上にアカウントを大量に作成することで、攻撃を拡大している。研究者らはまた、ギャングが詐欺の支払いを受けるために使用した47のGreen Dotアカウントを発見した。研究者は、Scattered Canaryの不正失業給付請求の次のターゲットはハワイになるようだと警告している。

 

教育

2020年5月11日、英国の国立スーパーコンピューティングサービス「ARCHER」、ドイツ・バーデンヴュルテンベルク州のハイパフォーマンス・コンピューティング・プロジェクトが、セキュリティインシデントを報告した。今週末までに、SPIEGELは、ドイツの9台のスーパーコンピュータが悪意のあるサイバー活動の影響を受けたと報告した。他にもスペインとスイスで被害が報告されている。欧州グリッドインフラストラクチャ(EIG)コンピュータセキュリティインシデント対応チーム(CSIRT)は、「悪意のあるグループが現在、不明な目的で学術データセンターを標的にしている」と報告した。EIG CSIRTによる以前の報告では、あるグループがCPUマイニングのために学術用データセンターを標的にしていると述べられていた。EIG CSIRTは、2つの事件は「相関関係があるかもしれないし、ないかもしれない」と述べている。Cado Security の研究者は、マルウェアのサンプルをレビューし、攻撃者が漏洩した SSH クレデンシャルを介してアクセスしたと報告している。あるインシデントでは、攻撃者がスーパーコンピューティングノードにアクセスし、Moneroの暗号通貨マイニング装置を配備した。

 

小売、ホスピタリティ、観光

ハッカーが他のWordPressプラグインの欠陥を利用し、サイトがWooCommerceを使用しているかどうかを識別するマルウェアを展開していると、Sucuriの研究者が報告している。悪意のあるPHPスクリプトとしてインストールされるこのマルウェアは、他のWordPressターゲットをスキャンして、そのデータベースからWooCommerceのデータを流出させることができる。BleepingComputerは、攻撃者はこの情報を利用して、どのサイトにMagecartスキマーを展開するかを決めることができると述べている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-15-21-may-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。