2020.06.12

ウィークリー・サイバーダイジェスト – 2020年6月5日〜6月11日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

カナダ

勅許職業会計士協会

同協会は2020年4月に会員がフィッシングメールを受信するようになったことをきっかけに、協会Webサイトが不正に侵害されていたことを発見した。今回の事件で流出したデータには、氏名、住所、メールアドレス、雇用者名などが含まれている。暗号化されたクレジットカード番号やパスワードも、侵害されたデータに含まれていた(329,000人)

 

Fitness Depot

この小売業者は、同社のEコマースプラットフォームへの侵入により、ハッカーが2月から2020年5月までの間に個人情報や財務データにアクセスできたことを発表した。流出したデータには、氏名、住所、電話番号、クレジットカード番号などが含まれている。BleepingComputerは、今回のインシデントがMagecartによる攻撃の特徴をすべて持ち合わせていると述べている。

 

米国

Conduent

同社は、2020年5月29日に欧州支部がランサムウェア攻撃を受けたことを確認した。2020年6月4日、Mazeランサムウェアの運営者は犯行声明を出し、同社に属するとされる1GB相当のファイルを、自らが運営するデータ侵害サイトに投稿した。これらのファイルには、財務スプレッドシート、顧客監査、請求書、手数料明細書などが含まれている。

 

ケンタッキー州職員健康保険(KEHP)

ケンタッキー州人事局は、2020年4月21日から4月27日の間、会員971人分の詳細情報に権限なくアクセスされたことを明らかにした。攻撃者は、KEHPの会員が利用している請負業者「StayWell」のシステムに侵入し、生体認証スクリーニングや健康評価データを閲覧することができた。最初のインシデントに関連した2つ目のインシデントは、2020年5月12日から5月22日にかけて発生した。(971人)

 

 

Castro Valley Health Inc

同組織は2016年から2017年にかけて、患者の情報がDocker Hubに転送されたことを報告した。Castro Valley Healthが「何重にもコード化されている」と表現したデータには、患者の名前や生年月日、カルテ番号などが含まれていた。同組織は2020年4月21日にインシデントに気づき、データは削除された。

 

ユタ大学 医学部

同大学病院は、2020年4月6日から5月22日の間に、一部の職員のメールアカウントを危険にさらしたフィッシング攻撃を発見した。これらのメールアカウントには、氏名、生年月日、カルテ番号などの患者のプライベートデータが含まれていた。現在のところ、まだデータは悪用されてないようだ。

 

VT San Antonio Aerospace

Mazeランサムウェアの運営者が、VTサンアントニオ・エアロスペース(VT SAA)を攻撃し、同社の保有する1.5TBのデータを流出させたと主張している。攻撃者は、侵害された管理者アカウントを使用して、リモートデスクトップ接続でVT SAAのサーバーの1つに接続したことを示すIT管理者の備忘録を流出させた。また、攻撃の3日後に同社が暗号化されたシステムの復旧に成功したことも明らかにされている。これまでに攻撃者によって流出した他の文書には、財務スプレッドシートや期限切れのNDAなどが含まれている。

 

Student Advocates Group

CyberNewsは、安全ではないAmazon Simple Storage Serviceのバケットを介して、学生ローンに関連する56,422件の通話録音と25,143件のPDFが流出したことを発見した。漏洩した詳細情報には、氏名、生年月日、社会保障番号、クレジットカード番号、暗証番号、Eメール、ローン総額などが含まれている。確認されたデータの中で最も古いものは2018年にさかのぼる。データベースは2020年5月26日にAmazonによって保護された。

 

Fraser Wheeler & Courtney LLP and Vierra Magen Marcus LLP

REvilランサムウェアの運営者はDark Web上の公式ブログに、米国を拠点とする2つの法律事務所を追記し、それらの企業から盗んだデータの競売を開始した。これには、Fraser Wheeler & Courtney LLPの50GBのデータと、Vierra Magen Marcus LLPの1.2TBのデータが含まれている。オークションに出品されたデータには、顧客ファイル、顧客情報、社内文書、電子通信履歴、事業計画書などが含まれていると思われる。

 

Everett & Hurite Ophthalmic Association

2020年3月23日、この眼科は従業員のEメールアカウントの1つで異常な活動を発見し、調査の結果、2020年2月25日から3月25日までの間にアカウントが不正アクセスを受けていたことが判明した。そのアカウントには患者の個人情報や健康情報が含まれており、アクセスされた可能性がある。これには、姓名や場合によっては生年月日、財務情報、社会保障番号などが含まれている。

 

アラバマ州フローレンス市

同市当局は2020年6月5日、DoppelPaymerランサムウェア攻撃を受けたことを確認した。2020年6月9日、スティーブ・ホルト市長はKrebsOnSecurityに対し、この攻撃が同市のEメールシステムに影響を与えたと話した。市長は盗まれたデータを復旧するために、攻撃者に約291,000ドルのビットコインを支払うことを計画していると述べた。

 

イスラエル

不明

別名「JEArmy」としても知られる「アノニマス・イスラム」は、数百人のイスラエル人の個人情報を流出させたサイバー攻撃の犯行声明を出した。 これには、クレジットカード情報、IDカード、電話番号、セキュリティコードなどが含まれている。

 

フィリピン

サンベーダ大学

2020年6月4日、ハッカーがサンベーダ大学の学生数千人の個人データをツイッターで流出させた。漏洩データには、フルネーム、生年月日、住所、メールアドレスとパスワード、連絡先番号などが含まれている。

 

インド

Zee5

「John Wick」というエイリアスで活動しているハッカーが、Bitbucket上の会社のデータベースとコードリポジトリにハッキングしたと主張している。主張によると、ソースコードとユーザー情報に関連する150GBのデータを流出させたという。Quickcyberで共有されたデータには、ライブコードの秘密鍵や、安全ではないAmazon Web Servicesのバケットの認証情報などの情報が含まれている。またハッカーは、加入者の取引情報、パスワード、Eメール、携帯電話番号なども保有していると主張している。

 

Aban Offshore Limited

Nefilimランサムウェアの運営者は、データ流出の「パート8」として、同社に属するデータを公開した。Cybleの研究者によると、データには250人以上のパスポート詳細、医療記録、報酬の詳細、出入国書類、銀行口座の詳細など、契約者や従業員の機密情報が含まれているという。

 

Bharat Earth Movers Limited

Cybleの研究者によると、2020年5月に同社から盗まれたデータが、2020年5月25日にオンライン上に投稿されたという。データは従業員の7つのメールアカウントからダウンロードされたもので、メールのやりとり、オフィス間のメモ、顧客の詳細記録などが含まれていた。また、漏洩した7つのアカウントの社内メールアドレスとログインパスワードも公開された。

 

チリ

複数の組織

チリ透明性委員会が実施した監査では、病院による12件の購入注文と医療サービスによる6件の購入注文で、機密性の高い患者データが流出していたことが明らかになった。ほとんどの場合、データは適切なセキュリティ対策や患者の同意なしに共有されていた。他のケースでは、データがポータルを介して公開されていた。

 

中国

Sias University

現在、WeChatやQQで「帰国学生リスト」と呼ばれる文書が共有されており、同大学の学生の個人情報が記載されている。リストには、学生の名前、年齢、国民ID番号、専攻、キャンパスの住所、入試の登録番号などが暴露されている。流出元は明らかになっていない。同大学は流出の調査を行っているとし、警察に報告したという。(20,000人)

 

Greenworks

2020年6月8日、RapidSpikeの研究者が、このDIYツール企業の米国サイトに自浄作用と自爆作用を持つスキマーが存在することを確認した。このスキマーは、研究者が2020年6月10日に問題を報告した時点ではまだ存在しており、サイト上で入力された個人情報やクレジットカード情報を流出させることが可能だ。

 

英国

Hockley Medical Practice

この開業医院は、サイバー攻撃により医療記録が影響を受けた可能性があることを知らされた。この攻撃で機密データが盗まれたかどうかは明らかになっていない。患者の1人がNHSを装うEメールを受け取ったことが報告されている。このメールは患者の個人情報を含んでおり、悪質なリンクをクリックするよう患者に促したという。調査は現在進行中だ。

 

コロナウイルス流行に関連したマルウェアへの言及

このチャートはコロナウイルスに関連して、先週トレンドとなったマルウェアを示しています。

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

FBIは、2020年に入ってからモバイルバンキングの利用が50%増加していることを示す米国の金融データを示し、これらのプラットフォームを標的とするサイバー脅威アクターの増加を予想していると警告した。同局は、アプリベースのバンキング型トロイの木馬や、偽のバンキング・アプリを利用した攻撃が顧客を標的にするだろうと警告している。

 

政府

Googleの脅威分析責任者であるシェーン・ハントリー氏のツイートによると、同社はバイデン陣営に対し、中国と連携した脅威アクター「APT31」の標的になっていると警告した。またハントリー氏は、トランプ陣営にも「APT35」によるイランの活動に関連した同様の警告が送られていたことを明らかにした。いずれのケースも、選挙運動スタッフのメールアカウントを標的としたフィッシング攻撃が絡んでいた。Googleは、攻撃が成功したことを示す証拠はないとしている。

 

教育

BlackberryとKPMGの研究者が、教育やソフトウェア部門の中小企業や組織を対象に、Tycoonランサムウェアが使用されていることを発見した。このマルチプラットフォームのマルウェアは、WindowsとLinuxの両方のマシンを標的としており、トロイの木馬化された「Java Runtime Environment」のビルドを含むZIPアーカイブの形で提供されている。攻撃者は、このマルウェアをビルドディレクトリ内のJavaイメージファイルにコンパイルした。これは、今まで研究者に発見されていなかった手法だ。インターネットに接続されたRDPジャンプサーバを介して発生する最初の侵入に続いて、攻撃者はファイルサーバを暗号化し、身代金を要求する。

 

医療

英国政府通信本部(GCHQ)のトップであるジェレミー・フレミング氏は、敵対国のハッカーがコロナウイルスワクチンの候補に関する秘密を盗もうとしていると警告した。ハッカーが英国の健康インフラとその研究所のいくつかを狙い、悪用できる「非常に基本的な脆弱性」を頻繁に探している様子が確認されている。

 

暗号通貨

Sophosの研究者は、SQLサーバーに対するブルートフォース攻撃で拡散するKingminerボットネットの戦術、技術、手順を詳細にまとめた報告書を発表した。最近では、Powerghost ボットネットに見られるものに類似したスクリプトを使用する、 EternalBlue エクスプロイトの実験も開始している。このボットネットの運営者は、PowerspoiltやMimikatzのようなオープンソースのツールを利用する傾向があり、これらは20以上のユーザーアカウントにリンクされたGitHubの公開リポジトリに保存されている。ペイロードの実行には、DLLサイドロード技術が使用されているが、これは中国のAPTグループが頻繁に使用している方法だ。このボットネットはまた、ドメイン・ジェネレーター・アルゴリズムも利用しており、ダウンロード・サーバーの1つがシャットダウンされた場合にダウンローダーの新バージョンをリリースする必要がないように、C2サーバーのドメインを変更する可能性がある。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-05-11-june-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。