2020.06.19

ウィークリー・サイバーダイジェスト – 2020年6月12日〜6月18日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

TAIT Towers Manufacturing LLC

2020年4月6日、TAIT社は自社のコンピューターサーバー1台と、ある従業員のEメールアカウントが侵害されたことを確認した。2020年2月16日から始まった不正アクセスにより、何者かが氏名、住所、メールアドレス、社会保障番号、金融口座番号、生年月日などを閲覧することが可能な状態だった。

 

Genworth Financial

数社の第三者保険代理店のログイン認証情報が侵害された。2020年4月20日に発覚した今回のインシデントによって、攻撃者は氏名、住所、生年月日、社会保障番号、金融情報などの個人情報を組み合わせて閲覧することが可能になった。 (1,600人)

 

Threadstone Advisors

Mazeランサムウェアの運営者は、同社への攻撃を行ったと主張している。この運営者は、ブログに取締役のジョシュア・ゴールドバーグ氏の電話番号とメールアドレスを掲載し、より多くの証拠を 「近日中に公開する」と述べている。流出したデータの量や要求された身代金の金額について、詳細は提供されていなかった。

 

Electronic Waveform Lab

同社は、2020年4月11日にランサムウェア攻撃の標的となった。この攻撃で、コンピュータシステムの一部が影響を受け、一部の顧客データが侵害された可能性がある。これには、氏名、住所、保険情報、場合によっては少数の診断情報や治療情報などが含まれる。このデータが悪用されたとは考えられておらず、今後悪用されるとも考えられていない。

 

Symbotic LLC

REvilランサムウェアの運営者は、Symbotic LLCに属するデータを専用サイトで公開し始めたと、自らのブログに投稿している。ブログの投稿によると、2日ごとにさらに多くのデータが公開されるという。現在、流出したデータには、従業員の氏名、住所、社会保障番号、給与明細、非競争契約などが含まれている。

 

Cano Health

2020年4月13日、同社は、患者データを含む3つの従業員のEメールアカウントが、不正な個人によってアクセスされたことを発見した。アクセスの正確な期間は不明のままだが、2018年5月18日から2020年4月13日の間と推定されている。侵害された可能性のある患者データには、氏名、生年月日、連絡先、医療情報、社会保障番号、政府の身分証明書番号などが含まれている。

 

Rangely District Hospital

同病院は、2020年4月9日にコンピュータネットワークの一部がランサムウェアに襲われたと述べている。この病院によると、個人の健康情報を含むファイルが閲覧またはエクスポートされたという証拠はないが、一部の記録は復元されていないか、アクセスできなかったとのこと。ファイル内のデータには、氏名や社会保障番号、医療情報などが含まれている。

 

Claire’s、Icing

Sansecの研究者は、Claire’s とその姉妹ブランドであるIcing が、両社のオンラインストアにスキマーを注入して顧客カードやデータを盗む、Magecart攻撃の標的になっていたと報告した。攻撃者は2020年3月20日にClaire’s になりすましたドメインを登録。2020年4月25日、攻撃者はClaire’s とIcing のサイトに悪質なコードを追加し、入力されたユーザーの認証情報を集めて偽ドメインに送信した。このマルウェアは2020年6月13日、Claire’sによって削除された。

 

MaxLinear

同社は、2020年5月24日に発覚したMazeランサムウェア攻撃の影響を受けたことを明らかにした。攻撃者は2020年4月15日に同社のシステムにアクセスし、その2カ月後に10.3GBの会計・財務データを投稿した。攻撃者は、暗号化の前に1TB以上のデータを流出させたと主張している。流出したデータには、氏名、個人や会社のメールアドレス、財務口座番号、社会保障番号などが含まれている可能性があるという。

 

Cognizant

同社は、2通のデータ侵害通知書をカリフォルニア州司法長官事務所に提出した。この通知書類によると、2020年4月9日から4月11日の間に、同社のネットワークがMazeランサムウェアの運営者によってアクセスされたという。またこの書類には、Mazeの運営者が同社のシステムから氏名、社会保障番号、パスポート情報、企業のクレジットカードなどを含む「限られた量のデータ」を流出させた可能性が高いとも記載されている。

 

ZEGG and Strategic Sites LLC

「REvil」ランサムウェアの運営者は、免税店ZEGGに属するデータを公開した。また攻撃者は、Strategic Sites LLCが「合意に達すること」を拒否した場合、同社の機密情報を公開すると脅した。

 

KIPP SoCal

このチャータースクールの運営者は、2020年6月2日に業者から、生徒情報を含むファイルがGitHub上で公開されているとの通知を受けたと話している。不適切なプライバシー設定により、このデータファイルは2019年10月3日から2020年6月2日までの間、GitHub内で検索可能な状態になっていた。この期間中、このページには7回のアクセスがあった。流出したデータには、名前、住所、第一言語、生年月日などが含まれていた。

 

オーストリア

A1 Telekom

ブロガーのChristian Haschek氏は、A1 Telekomで半年間続いたネットワーク侵入の詳細を公開した。同社はこの侵害を確認し、侵入が最初に発見されたのは2019年12月だったと述べている。Haschek氏に連絡した内部告発者は、「攻撃者が機密性の高い顧客データへのアクセスに成功した」と主張していたが、Haschek氏と会社側の双方がこれに異議を唱えている。

 

メキシコ

政府

Lucy Securityの報告によると、「m1x」というエイリアスで活動するロシアのハッカーは、少なくとも1万4000人分のメキシコの納税者ID番号、および不特定多数の警察の記録を流出させた。「m1x」は、政府に身代金の支払い猶予を5日間与えたと述べていたにもかかわらず、2020年6月10日に公開のクラウドサービス上へ情報を流出させた。100GBのデータには自宅の住所や電話番号などが含まれていた。(14,000人)

 

アルメニア

不明

セキュリティ専門家のSamvel Martirosyan氏によると、アゼルバイジャンのハッカーが、アルメニア人のコロナウイルス患者、および患者と接触した人のデータを公開した。現時点では、アルマヴィル地方の個人に関するデータのみが流出している。Martirosyan氏は、ハッカーがアルマヴィル地方の病院からデータを盗んだ可能性があると考えている。(3,500人)

 

インド

Indian Blood Donors

CloudSEKの研究者は、この組織に登録した個人の情報を含むデータベースを無料で提供すると宣伝する、2つのフォーラム投稿を発見した。このデータベースには12,472件のレコードが含まれており、各レコードには個人を特定できる情報、血液型、プレーンテキストのパスワードなどが含まれている。

 

南アフリカ

Postbank

The Sunday Timesの報道によると、Postbankは、暗号化されたマスターキーが暗号化されていないテキストで印刷されていたことを受けて、1,200万枚の銀行カードを交換するという。従業員によって盗まれたとされるこのキーは、銀行のシステムにアクセスしたり、銀行のカードデータを読み取ったり変更したりするのに使われる可能性があるという。このインシデントは、Postbankから社会的助成金を受け取る800万人から1,000万人の受益者と、他の約100万人のPostbank口座保有者に影響を与えている。(12,000,000人)

 

スイス

Intersport

ESETの研究者によると、クロアチア、セルビア、スロベニア、モンテネグロ、ボスニア・ヘルツェゴビナの同社Webサイトに対し、Magecart攻撃が行われたという。攻撃は、2020年4月30日から5月3日の間に発生し、2020年5月14日に再び発生したと報告されている。最後のインシデントでは、悪意のあるコードは展開してから数時間以内に削除された。

 

ドイツ

Foodora

Delivery Heroの子会社であるFoodoraに属するデータが、2020年5月19日にハッカーフォーラムに投稿された。その後も別の場所に投稿され、14カ国の顧客が影響を受けている。Delivery Heroによると、データは2016年まで遡ると言う。一方で、オンライン上にデータを投稿したある個人は、2019年にデータが取得されたと述べている。流出した情報には、氏名、住所、電話番号、ハッシュ化されたパスワード、緯度経度データ、顧客のメモなどが含まれている。(727,000人)

 

カナダ

Goodman Mintz LLP

「REvil」ランサムウェアの運営者が、この会計事務所を標的にしたと主張しており、現在はDarkWebサイトで盗まれたデータを競売にかけている。漏洩したデータには、会社のファイル、顧客のアカウントや作業文書、データベース、顧客のユーザー名やパスワードなどが含まれている。

 

フィリピン

Far Eastern University

同大学のKadiwa学生連合は、1,000人の学生アカウントが「ピノイ・グレイハッツ」と呼ばれるグループによって流出されていた可能性があると述べた。その後、同大学当局は、学生ポータルがハッキングされたという報告を調査している。報告によると「DRK」というエイリアスの下で活動する個人が、2020年6月16日に学生1,000人の名前やパスワード、学生番号を投稿したという。(1,000人)

 

英国

ケンブリッジ大学

ケンブリッジ大学クリニカルスクールが、医学部3年生305人の個人情報を含むスプレッドシートを、歓迎メールに誤って添付した。公開されたデータには、氏名、学生番号、生年月日、性別、CRSID、所属カレッジが含まれている。また、19人の学生の精神的な健康状態や障害、体力調査に関する情報も、スプレッドシートの「ノート」セクションに含まれていた。(305人)

 

その他

複数のデートアプリ

vpnMentorの研究者が、AWSアカウントの設定ミスを発見した。このアカウントには、「3somes」「Cougary」「Gay Daddy Bear」「Xpal」などの、ニッチでフェティッシュなデートアプリのデータが含まれていた。すべてのアプリに共通の開発者がいるようで、その開発者がすべてのS3バケットを確保している。このS3バケットには、詳細なユーザープロフィール、プライベートな会話、ボイスメッセージや録音、画像など、合計845GB、2,000万以上のファイルが含まれていた。

 

コロナウイルス流行に関連したマルウェアへの言及

このチャートはコロナウイルスに関連して、先週トレンドとなったマルウェアを示しています。

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

F5の研究者は、2008年から活動を続けているバンキング型トロイの木馬「Qbot」が、米国の約36の金融機関と、カナダとオランダの2つの銀行を標的としたキャンペーンで使用されていることを報告した。この研究者は、検出と分析を回避する技術を含んだ、Windowsベースの同マルウェアの新バージョンを分析した。このマルウェアは、感染したマシンに入ると、システムの再起動時に実行するためのコピーを作成する。主な攻撃方法として、ブラウザのハイジャックやリダイレクトを使用していると見られる。

 

重要インフラ

ブロガーのChristian Haschek氏が、オーストリアのA1 Telekom社で半年間続いたネットワーク侵入の詳細を公開した。同社は侵害を確認し、侵入が最初に発見されたのは2019年12月だったと述べた。Haschek氏に連絡した内部告発者は、マルウェアが社内のほぼすべてのサーバーと、同社管理下にある顧客ネットワークの1つに侵入したと主張していた。会社側によると、影響を受けたのは約12台のサーバーのみで、危殆化したデバイスはすべて同社のオフィスネットワーク内にあったという。同社とHaschekは、攻撃者が顧客の機密データにアクセスできたとの申し立てを含む、内部告発者の他の主張にも反論している。内部告発者は、「Gallium」という中国の国家アクターが原因だと主張している。会社側は、この主張に対してコメントしていない。

 

政府

ヒンドゥスタン・タイムズ紙は、2020年6月16日から始まった一連の分散型サービス拒否(DDoS)攻撃で、インドの政府系Webサイトや金融決済システムが標的にされたと報じた。大半の攻撃の出どころは中国の都市、成都だ。成都は、中国の主要な軍事機密サイバー戦争部門である「人民解放軍61398部隊」の司令部があることで知られている。また、多くのハッカーグループが成都を拠点としているとも言われている。

 

医療

NHS Digitalの広報担当者は、NHSmailの113のメールボックスが侵害され、2020年5月30日から6月1日の間に、悪意のあるEメールを送信するために使用されたことを確認した。患者の記録がアクセスされたことを示す証拠は見つかっていない。英国の国家サイバーセキュリティセンターは、今回の漏洩が、多数の英国の組織を標的とした広範なクレデンシャル・ハーベスト・フィッシングキャンペーンの一環であることを確認した。

 

暗号通貨

Coilの研究者は、偽のXRPの景品を宣伝し、ホモグリフ・ドメインを使ってユーザーを騙すキャンペーンの詳細を明らかにした。2020年1月に始まったこのキャンペーンでは、「Ripple’s Insights Blog」を模したサイトにユーザーをリダイレクトさせるリンクを含む、Memoメッセージが使用されていた。新たな攻撃は、XRP保有者向けの支援パッケージを宣伝するメールを介して、ユーザーを狙っている。これまでに210万件以上のXRPが盗まれ、198万件のXRPがロンダリングされている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-12-18-june-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。