2020.05.29

ウィークリー・サイバーダイジェスト – 2020年5月22日〜28日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

North Bay Parry Sound District Health Unit

オンタリオ州の保健局は、コロナウイルスのオンラインダッシュボードが誤って個人を特定できる情報を表示していると、一般市民から指摘を受けたことを明らかにした。流出されたデータは、氏名、検査の予定日付と場所、検査結果などが含まれている。この情報は、2020年5月8日以前にコロナウイルスの検査を受けた人に関連するものだったが、その後削除された。

 

フロリダ州経済機会局

同局は98人の個人に対し、その失業者管理システムがデータ侵害の影響を受けたことを表明した。侵害がいつ発生したか、影響を受けた個人の数、また取得されたデータ内容・詳細は提供されていない。

 

Harvest Food Distributors & Faro Technologies

Harvest Food Distributorsと3Dテクノロジー企業のFaro Technologiesが、REvilランサムウェアの標的にされたと報告されている。これは、ランサムウェアの実行者が先日発表したSherwood Food Distributorsへの攻撃に続くものだ。Harvest Food DistributorsとSherwood Food Distributorsの両方に要求された身代金は750万ドルと言われている。

 

District Medical Group

2020年3月11日、同医療グループは、侵入者が患者の健康情報を含む複数の従業員のメールアカウントにアクセスしたことを発見した。これには、氏名、医療記録番号、医療情報、健康保険情報が含まれていたと判明したが、場合によっては、社会保障番号も流出している可能性がある。(10,190人

 

Mathway

データ侵害ブローカーグループのShiny Huntersは、2,500万のMathwayユーザーレコードが含まれていると主張するデータベースを宣伝している。BleepingComputerは、DDW上で4,000ドルで販売しており、データベースには、システムデータ、ハッシュ化されたパスワード、およびメールアドレスが含まれていると述べている。

 

The Little Clinic

同クリニックは、複数の州の患者に対して、クリニックのオンライン予約機能に障害が発生したため、保護された健康情報にアクセスされた可能性があることを通知した。漏洩したデータは、患者の氏名、生年月日、電話番号、住所が含まれている。問題は2018年10月7日に始まり、2020年2月に発覚した。(10,974人

 

PetFlow

2017年12月に侵害を受けた同社は、そのデータをDark Web上に表示された。この事件は990,919件のアカウントに影響を与え、ソルト暗号のないMD5ハッシュとして保存されたEメールアドレスとパスワードを流出した。(990,919人

 

Arbonne International

カリフォルニアに拠点を置くこの会社は、権限のない人物が個人情報を含むデータテーブルにアクセスした可能性があることを発見した。流出データには、名前、Eメールアドレス、郵送先住所、Arbonneアカウントのパスワードなどが含まれる。他の州の居住者は、追加情報については各州の司法長官に連絡するよう指示されている。(3,527人

 

Tellus

Cyber​​Newsの研究者は、Tellusアプリケーションにリンクされた6,728個のCSVファイルを含む、安全で暗号化されていないAmazon S3バケットを特定した。データバケットには16,861件のユーザー記録が含まれ、そこには1,294件の検証済みテナント記録と3,194件の検証済みプロパティ所有者レコードが含まれていた。漏洩情報には、名前、住所、電話番号、チャットログ、ドキュメントのスキャンなどが含まれる。

 

ミシガン州立大学

Netwalkerランサムウェアの運営者は、ミシガン州立大学(MSU)のネットワークを感染させ、データを流出させたと主張した。この攻撃者は、ミシガン州の財務書類の2つのスキャン、ある学生のパスポートスキャン、そしてMSUのネットワークのものとされるディレクトリ構造を投稿した。同ランサムウェアの運営者は、MSUが身代金の支払い要求を拒否した場合、またはバックアップからの復元を試みた場合、さらに文書を漏洩すると脅した。

 

インドネシア

総選挙委員会

Under the Breachは、インドネシア国民230万人分のデータが盗まれ、ハッカーフォーラムに流出したと報告した。データには、氏名、住所、ID番号、生年月日などの個人情報が含まれているという。ハッカーは、この情報はKPUのデータベースから盗まれたもので、ジョグジャカルタ州で行われた2014年の立法選挙における有権者の個人情報が含まれていると主張している。ハッカーは、さらに2億人の個人情報を公開すると脅している。(2,300,000人

 

イタリア

サン・ラファエレ病院

同病院はサイバー攻撃の標的にされ、患者や職員の氏名、税コード、Eメールアカウント、パスワードなどの個人情報が盗まれたと報じられている。病院側はこれらの主張を否定し、侵入の試みは数ヶ月前に行われたイベントを指していると述べている。漏洩したデータは、運営が停止したオンライントレーニングアプリに関連していると報告されている。これを受けて、LulzSec Italiaは約40人分の個人データを公開し、残りを2020年5月22日に公開すると脅している。

 

インド

Zoomcar

Dark Web上の脅威アクターが、900万人のZoomcarユーザーのデータを300ドルで販売していると報じられている。このデータには、氏名、メールID、パスワード、携帯電話番号、IPアドレスが含まれている。ハッカーは、2018年にデータを不正入手したと主張している。ZoomcarのCEOは、顧客のパスワード関する主張は「全く真実ではない」とし、Zoomcarの顧客データは「絶対に安全」であると述べた。(9,000,000人

 

Mukhya Mantri Parivar Samridhi Yojana

Security Discoveryの研究者は、ハリヤーナー州で運営されている社会保障プログラムに登録されている家族の詳細情報が、Elasticsearchの設定ミスによって流出したと報告している。何百万もの家族に影響を与えたこのインシデントで漏洩したデータには、名前、住所、Aadhar番号、収入の詳細、Eメールなどが含まれる。その後、データベースは削除された。

 

不明組織

2020年5月22日、Cybleの研究者は、複数の州からの求職者データ約2900万人分を含む2.3GBの圧縮ファイルを、ハッカーが共有したと報告した。今回の漏洩は、履歴書収集サービスから発生したと見られ、メール、電話番号、資格などのデータが含まれる。また2020年5月24日、Cybleの研究者は、別の脅威アクターがハッキングフォーラムで約2,000枚のAadharカードをドロップしたと報告した。データは2019年に遡るものと見られる。この犯罪者は最近、マディヤプラデーシュ州から180万人のデータを漏洩したと考えられている。(> 29,000,000人

 

EduCBA

2020年5月22日、このオンライン教育サイトはデータ侵害の通知を顧客に送信し、「悪意のある第三者による不正アクセスにより」一部のユーザーデータが侵害されたと述べた。インシデントで流出したデータには、Eメール、名前、パスワードなどが含まれる。攻撃への対応として、会社はすべてのユーザーパスワードをリセットした。

 

北マケドニア

経済財務省

ギリシャ軍の強力なハッカーグループは、北マケドニアの経済財務省とストルミカ市の自治体職員が所有する数十のメールアドレスとパスワードを盗み出したと主張している。当局は、ハッカーによって取得されたデータは2013年に遡り、近年になって不正があったことを示唆する証拠はないと述べた。

 

タイ

Advanced Wireless Network

「xxdesmus」として知られるセキュリティ研究者が、とある会社に属するElasticsearchの公開データベースを発見した。このデータベースには、DNSクエリログとAWNユーザーのように見えるNetFlowログの組み合わせが含まれていた。5月21日の時点で、8,336,189,132個のドキュメントがデータベースに保存されていたが、その後、データベースは保護された。

 

コンゴ民主共和国

Bolloré Transport & Logistics

NetWalkerランサムウェアの実行者は、企業ネットワークに侵入し、データを盗んだと主張している。同社、サーバーの一部に対するサイバー攻撃が2020年5月14日に行われたことを確認した。攻撃の証拠として、攻撃者は会計および請求書ファイルのスクリーンショットを投稿し、身代金要求が満たされない場合、データを公開すると脅迫している。

 

オーストラリア

IN SPORT

オーストラリアに拠点を置く小売業者の本社は、Sodinokibiランサムウェアの攻撃を受けた。どのファイルがアクセスされたのか不明のままだが、メールアドレス、配送先住所、電話番号などの情報が含まれている可能性があると同社は述べている。IN SPORTに属するとされるデータベースが先週、DDW上に投稿された。

 

北アイルランド

Historical Abuse Inquiry Interim Advocateの事務局

2020年5月22日に同事務局からメールで送信されたニュースレターは、「Historical institutional abuse(歴史的な制度的虐待)」の生存者150人分の詳細情報を誤って流出した。既に措置が取られ、情報コミッショナー(国の個人情報監督機関)に事件が通知された。(150人

 

スウェーデン

Truecaller

Cyble Incの研究者は、Dark WebマーケットでインドのTruecallerレコード4750万人分を1,000ドルで提供するハッカーを発見した。このデータは2019年以降のもので、電話番号、携帯電話会社、氏名、性別、都市、メールアドレス、Facebook IDなどの情報が含まれている。Truecallerは会社側でのデータ漏洩を否定し、ハッカーが他のソースからのデータを編集した可能性があることを示唆した。(47,500,000人

 

ロシア

LiveJournal

2020年5月8日頃から、2600万件のLiveJournalアカウントが含まれているとされるデータダンプが、複数のハッカーフォーラムで自由に共有されている。報告によると、ダンプにはユーザー名、メールアドレス、プレーンテキストのパスワードが含まれている。(26,000,000人

 

オーストリア

ヴァイツ市

2020年5月20日、Cybleの研究者は、オーストリアの都市ヴァイツに属しているとされるデータが、Netwalkerランサムウェアの運営者によって漏洩したと報告した。攻撃者はデータ漏洩のサンプルをオンラインで投稿した。

 

複数の組織・フォーラム

BleepingComputer

BleepingComputerによると、攻撃者が公開ウェブでアクセスできるオンラインストアの保護されていないサーバーに侵入し、データベースをコピーして、盗まれたデータと引き換えに身代金を要求してきたという。公開されているウェブサイトには、150万件以上の記録を含む31個のSQLデータベースがリストアップされているのが発見された。しかし、BleepingComputerは、盗まれたデータの総量はもっと多いと述べている。

Sinful Site

Cybleの研究者は、2020年5月15日、プライベートメッセージを含むSinful Siteの完全なデータベースがオンラインにダンプされたようだと報告した。2020年5月20日には、NulledとSUXX TOのデータベースもオンラインで投稿された模様。これらのデータベースには、詳細なユーザー情報が含まれていると報告されている。

Trezor、Ledger、およびKeepkey

Under the Breachの研究者は、ハッカーがTrezorとLedgerのデータベースを販売していると報告した。Shopifyエクスプロイトを通じて取得されたと思われるデータには、名前、住所、電話番号、Eメールなどが含まれる。またハッカーは、BnkToTheFutureの完全なSQLデータベースを持っていると述べた。

 

コロナウイルス流行に関連したマルウェアへの言及

このチャートはコロナウイルスに関連して、先週トレンドとなったマルウェアを示しています。

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

Seguranca Informaticaの研究者たちは、かつてブラジル、メキシコ、スペイン、ペルーのユーザーを標的としていた、バンキング型トロイの木馬「Grandoreiro」の新種を発見した。この新種は、悪意のあるHTML添付ファイルで被害者の名前を利用するというマルスパムキャンペーンの一般的な手法を用いて、ポルトガルのユーザーを標的にしている。ユーザーがファイルをクリックすると、悪意のあるVBScriptがダウンロードされ、その後、攻撃者のサーバーからISOファイルがダウンロードされる。GrandoreiroのWebトラフィックとLatenbot C2のトラフィックには類似点が見つかっている。研究者は、マルウェアがLatenbotボットネットモジュールを組み込んでC2通信を改善し、本質的に独自のボットネットを作成していると疑っている。

 

重要インフラ

重要インフラの事業者に送信されたドイツ政府の勧告は、国内企業のITシステムに対する継続的な攻撃を警告しており、某企業に対する「長期にわたる侵害」の証拠を示している。当局によると、いかなる企業のネットワークへの破壊的な攻撃の証拠も見つからなかった。国の「情報セキュリティのための連邦事務所」、「連邦情報局」、および「連邦憲法保護局」によって発行されたアラートは、Berserk Bearがサプライチェーンを利用してITネットワークに侵入し、情報を盗んでいると述べている。ロシアの諜報機関、FSBとのつながりが疑われるこのグループは、伝えられるところによると、公に利用可能でカスタムされたマルウェアをキャンペーンで使用している。

 

政府

ESETの研究者たちは、TurlaスパイグループがComRATのアップデートバージョンを使用していると報告した。マルウェアの元のバージョンは2007年にリリースされた可能性が最も高い。このリモートアクセス型トロイの木馬の最新バージョンは、2017年に初めて発見され、最近では2020年1月ごろに使用された。 研究者らは、TTPsと被害者への分析を根拠に、ComRATはTurlaのみで使用されていると述べている。この複雑なC ++バックドアは、最近2つの外務省と国会に対して使用されており、4shared、OneDrive、および同様のサービスを介して機密文書を引き出した。同マルウェアには2つのC2チャネルがあり、そのうちの1つはHTTPプロトコルを使用し、以前のバージョンのComRATに存在していた。2番目のC2は、Gmail Webインターフェイスを使用してコマンドを受信し、データを引き出す。

 

テクノロジー

ESETの研究者は、2012年から注目を浴びるサプライチェーン攻撃に関与しているWinnti Groupが、韓国と台湾に拠点を置くゲーム会社に対して新しいマルウェアを使用したと報告した。対象となる企業はMMOゲームを開発している。このグループは、プリントプロセッサとして存続するPipeMonと呼ばれる新しいモジュラーバックドアを使用した。あるケースでは、攻撃者はビルドシステムを侵害し、ゲームの実行ファイルをトロイの木馬化した可能性がある。ゲームサーバーに対する別の攻撃も成功し、攻撃者がゲーム内の通貨を操作できるようにした可能性がある。攻撃とマルウェアの詳細は、ESETから入手できる。

 

医療

中国関連ハッカーがコロナウイルスのワクチン研究情報を盗もうとしたという米国政府の非難を受け、FBIは、医療、公衆衛生、および研究セクターを標的とした攻撃について各業界に警告を発した。Cyber​​Scoopが入手したアドバイザリによると、国家関連の攻撃者はサイバーリソースを医療および公衆衛生セクターを標的とするように変化させ、一方で犯罪者は金銭的利益を得るために同様の組織を標的にしたという。FBIは、この変化はコロナウイルスのパンデミックに起因する可能性があると述べた。同機関はまた、国家関連のハッカーが米国の医療機関および公衆衛生部門の組織のネットワークへのアクセスを獲得および保持しようとした、2020年2月以降の複数の事例を示した。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-22-28-may-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。