2020.06.05

ウィークリー・サイバーダイジェスト – 2020年5月29日〜6月4日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

日本

NTTコミュニケーションズ 

2020年5月7日、NTTコミュニケーションズは一部のシステムへの不正アクセスを検知し、調査の結果、ファイルが盗まれた可能性があることが判明した。攻撃は同社のActive Directoryサーバーのほか、運用サーバーや顧客情報を含む情報管理サーバーにも影響を与えた。このデータ侵害は、621社に影響を与えた可能性がある。

 

オーストラリア

Bigfooty[.]com

Safety Detectivesの研究者が、AFLのファンサイトから約132GBのデータが流出しているのを発見した。このデータには、ユーザーを特定できるプライベートな会話を含む約7,000万件の記録が含まれていた。この安全性のないポートは2020年5月14日に修復され、同サイトの運営会社であるBig Interest Groupは、データがコピーされたりダウンロードされたりした証拠は見つかっていないとしている。

 

インドネシア

教育・文化省

インドネシアの教育・文化省に属するデータがハッカーの侵害を受け、最大130万人分の公務員の個人情報が流出したと報じられた。その内容には、フルネーム、市民ID 番号、家族カード番号、自宅の住所、生年月日などが含まれる。(1,300,000人)

 

米国

Minted

同社は、2020年5月6日にユーザー情報を含むデータベースが攻撃者によってアクセスされたと述べている。流出したデータには、名前、メールアドレス、ハッシュ化されたパスワードとソルト化されたパスワード、請求先住所などが含まれている。2020年5月9日、BleepingComputerは、ハッキンググループ「Shiny Hunters」がMinted社の顧客500万人分のユーザー記録を含むデータベースを宣伝していると報じた。(5,000,000人)

 

Mat-Su Surgical Associates

アラスカに拠点を置くこの医療サービスは、2020年3月16日にランサムウェア攻撃の標的となった。インシデントの間、不正な個人が、同社の現在および過去の患者の保護された健康情報を含むファイルにアクセスした可能性がある。これには、患者の名前、住所、社会保障番号などが含まれている。

 

ケンタッキー州失業保険

ケンタッキー州のアンディ・ベシア知事は2020年4月23日、一部の失業保険請求者の個人データが流出するデータ漏洩事案が発覚したことを公表した。同州の失業ポータルのエラーにより、Webサイトの訪問者が他の失業保険請求者によってアップロードされたデータを閲覧できるようになっていた。

 

Amtrak

2020年4月16日、同社は、不明の第三者が「Amtrak Guest Rewards」のアカウントに権限なくアクセスしていたことを発見した。パスワードが流出した今回の事件で、影響を受けたアカウント数は公表されていない。同社は、一部の個人情報が閲覧された可能性があるとしているが、このデータにはどのようなものが含まれているかは明言していない。金融データ、クレジットカード情報、社会保障番号は影響を受けなかった。

 

Digital Management Inc

「DoppelPaymer」ランサムウェアの運営者は、IT企業のDigital Management Inc (DMI)のネットワークを侵害したと主張している。攻撃の証拠として、脅威アクターはDark Webポータル上で、NASAに関連する20個のアーカイブファイルを公開した。その中には、人事文書やプロジェクト計画などが含まれている。また、攻撃者は、DMI社の社内ネットワークの一部であるとされる2,582台のサーバーとワークステーションのリストも掲載している。

 

10up Inc

2020年2月24日、サンフランシスコ市職員退職年金基金(SFERS)のWebサイトを運営する「10up Inc.」に属するデータベースがハッキングされた。盗まれた可能性のあるデータには、氏名や自宅住所、生年月日などが含まれている。(74,000人)

 

Westech International

米軍請負会社「ノースロップ・グラマン」の下請け会社である同社が「Maze」ランサムウェアに襲われた。マルウェアは同社のマシンを暗号化し、運営者はWestech社に身代金要求に応じるよう促すため、文書を流出させ始めた。ハッカーは給与明細やEメールにアクセスしているようだ。現時点では、軍事機密情報が流出したかどうかは不明だ。

 

カリフォルニア大学サンフランシスコ校

「NetWalker」ランサムウェアの運営者は、デバイスを暗号化し、大学に属する暗号化されていないデータを流出させたと主張している。

攻撃の証拠として、グループは学生用アプリケーション、スプレッドシート、従業員情報、財務、医学研究などに関連すると思われるフォルダリストを共有した。

 

ミネアポリス市警

ソーシャルメディア上の複数の報告は、ミネアポリス市警(MPD)からメールアドレスとパスワードを含むデータベースが盗まれ、流出したといい、このハッキングの背後にはアノニマスがいたと主張している。セキュリティ研究者のトロイ・ハント氏は、データベースについてのこれらの主張を調査し、それが最近ハッキングされたMPDのシステムからではなく、古いデータ侵害やクレデンシャルスタッフィングのリストから得られたMPDのメールアドレスの集まりであると考えている。

 

ドイツ

Daniel’s Hosting

「KingNull」というエイリアスで活動するハッカーが、2020年3月10日に盗まれたDaniel’s Hostingのデータベースをアップロードした。「KingNull」が共有したデータには、3,671個のメールアドレス、7,205個のアカウントパスワード、Dark Webドメインの秘密鍵8,580個が含まれている。「KingNull」は、ハッカーグループ「Anonymous」のメンバーであると主張している。

 

TVSmiles

UpGuardの研究者は、TVSmilesのアプリに関連するデータを含む「Amazon S3」の公開バケットを発見した。このデータベースには、ユーザーや顧客の個人情報のほか、デバイスデータも含まれていた。漏洩したデータには、901,000件のEメールアドレス、氏名、性別、生年月日などが含まれていた。

 

台湾

不明

Cyble社の研究者は、有名なアクター「Toogod」がDarkWeb上で宣伝しているデータベースを発見した。このデータベースには、氏名、住所、ID、性別、生年月日、電話番号など、2000万件以上の記録が含まれている。「Toogod」は、このデータが台湾内政部(内務省に相当)の戸籍担当部署からのものであると主張している。政府によると、データベースは異なる情報源からの古いデータで構成されており、調査の結果、戸籍担当部署での流出はなかったことが確認されたという。(20,000,000人)

 

英国

Elexon

「REvil」ランサムウェアの運営者が、Elexon社のものとされる1,280個のファイルのキャッシュをアップロードした。同社は2020年5月14日にサイバー攻撃を受けた。公開されたファイルには、同社従業員のパスポート詳細や事業保険の申請書などが含まれているという。

 

インド

インド決済公社(NPCI)

vpnMentorの研究者は、インドのモバイル決済アプリ「BHIM」に関連する409GBのデータを含む「Amazon Web Services S3」バケットが、誤って設定されていることを確認した。このインシデントでは、約726万件の記録が侵害され、「Ardaar」カードやカースト証明書のスキャン、金融・銀行アプリのスクリーンショット、居住証明として使用されている写真などが流出した。データベースは2020年5月22日頃に閉鎖されたようだ。同社は「データ侵害の証拠はない」としている。

 

スペイン

8Belts 

vpnMentorの研究者は、このEラーニング・プラットフォームに属する「Amazon Web Services S3」バケットの設定ミスを発見した。漏洩したデータには、15万人以上の個人情報(PII)が含まれていた。これには、氏名、Eメールアドレス、電話番号などが含まれていた。さらに、同社の法人顧客の個人情報(PII)も漏洩した。この顧客の多くは会社のメールアドレスで登録していた。(150,000人)

 

南アフリカ

Telkom

「REvil」ランサムウェアの運営者は、南アフリカの「Telkom」に対して最近行われた攻撃の実行者であると自称し、Dark Webのブログ上で盗まれたデータを漏洩すると脅した。以前は「PonyFinal」が関与していると疑われていた。「Telkom」は当初、システム停止がランサムウェア攻撃によるものであることを否定し、2020年5月29日に認識したマルウェア感染に対処していたと述べていた。

 

ケニア、ナイジェリア

アフマド・ベロ大学、ベニン大学、マウント・ケニア大学

セキュリティ研究者のTouseef Gul氏は、これら大学のWebサイトやデータベースに脆弱性が含まれており、学生の記録が公開されたままになっていることを発見した。マウント・ケニア大学のデータは、ハッカーのフォーラムで共有され、名前や住所、電話番号などが含まれていたと報告されている。(~467,743人)

 

その他・不明

不明

Cyble社の研究者は、米国、フランス、オーストラリア、英国、カナダ、シンガポール、インドなどの国々の8万枚以上のクレジットカードの詳細情報を含むデータダンプを発見した。

 

Joomla

Joomlaは、「Joomla Resources Directory」サイトの暗号化されていないバックアップの全てが、サードパーティ企業の「Amazon S3」バケットに保存されていたことを公表した。このインシデントでは、フルネーム、勤務先住所、暗号化されたパスワード、IPアドレスなどが流出した。(2,700人)

 

コロナウイルス流行に関連したマルウェアへの言及

このチャートはコロナウイルスに関連して、先週トレンドとなったマルウェアを示しています。

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

Cofenseの研究者は、アフリカの銀行の顧客の資格情報を侵害するために徴税当局を装う攻撃者を特定した。標的の銀行には、ABSA、Capitec、First National Bank、Nedbank、Standard Bankが含まれる。攻撃者は、南アフリカ歳入庁の電子申請サービスを装い、受信者が税金還付対象者であると主張するEメールを送信した。メールには銀行のロゴが含まれており、ターゲットはクリックするように促される。画像をクリックすると、ターゲットは「Webnode」を使って作成され、標的の銀行になりすましたポータルサイトに移動する。ポータルでは、口座番号、携帯電話番号、パスワード、PINを要求される。

 

重要インフラ

ウクライナを拠点とするケーブル事業者のVoliaは、2020年5月31日から始まったUDPフラッド攻撃の標的となっている。「大規模で組織化されている」と表現されたこの攻撃は、最初にVoliaの加入者システムを標的にした後、同社の通信インフラにも影響を与えた。その結果、加入者10万人以上のインターネット、IPTV、マルチスクリーンプラットフォーム、デジタルTVの利用に問題が発生した。

 

政府

2020年6月2日、ミネソタ州上院のサーバーがハッキングされ、州と地方のコンピューターシステムを標的とした、さらなるサイバー攻撃によるアクセスを受けた。予防措置としてサーバーはオフラインになった。調査の結果、上院のWi-Fiパスワードを含むファイルが攻撃中にアクセスされ、その後リセットされたことが明らかになった。上院議員や職員のログイン情報にはアクセスされなかった。ここ数日で10の州機関を標的にしたものと同じハッカー集団が、今回の上院Webサイトへの攻撃の背後にいると考えられている。サイバー攻撃が現在進行中のジョージ・フロイド氏関連の抗議活動に関係しているかどうかは不明のままだ。

 

テクノロジー

Wordfenceは、2020年5月29日から5月31日までの間に、130万のWordPressサイトを標的とした、1億3000万件以上の攻撃をブロックしたと報告している。これらの攻撃は、データベースの認証情報や接続情報、固有のキーやソルトを含む、WordPressのインストールにとって重要なファイルをダウンロードしようとした。Wordfenceによると今回の攻撃は、過去にクロスサイトスクリプティング(XSS)の欠陥を狙って、類似の大規模攻撃を実行した脅威アクターとリンクしているという。攻撃者は、XSS攻撃と今回の攻撃を、同じバッチの2万以上のIPアドレスから開始したという。

 

暗号通貨

カナダの暗号通貨取引所、Coinsquareから盗まれたデータが、SIMスワップ攻撃に使われるだろうとMotherboardが報じている。データを入手したハッカーがMotherboardに伝えたところによると、ハッカーは当初会社を困らせ、データを売ることつもりだったが、のちにアカウントにSIMスワップ攻撃を行うことを決めたという。Motherboardと共有されたバージョンのデータには、5,000行以上にも及ぶユーザーのEメールアドレス、電話番号が含まれ、いくつかの事例では住所も含まれていた。データにはパスワードは含まれていないようだ。CoinsquareはMotherboardに対し、データが元従業員によって盗まれたことを伝えた。同社は昨年、この問題に気づき、法執行機関やその他の当局に通知したと述べている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-29-may-04-june-2020


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。