2020.06.26

ウィークリー・サイバーダイジェスト – 2020年6月19日〜6月25日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

フィリピン

Cebu Normal University

2020年6月17日、同大学の高等教育機関向け図書館・ジャーナル(JHE)のサブドメインがハッキングされた。危殆化したJHEのデータには、氏名、メールアドレス、国のリストなどが含まれている。今回のインシデントは、フィリピンの他の2つの大学に対する最近のサイバー攻撃に続くものだ。

 

米国

Crozer-Keystone Health System

フィラデルフィア市に拠点を置く医療機関は、同社のコンピュータシステムへのマルウェア攻撃を確認した。犯行グループは会社に属するデータのスクリーンショットをWebサイトで公開し、身代金が支払われない場合は、6日以内に盗まれた情報を公開すると脅している。

 

Netsential

2020年6月19日、「Distributed Denial of Secrets」は「BlueLeaks」と呼ばれるコレクションに含まれる270GB近いデータを流出させた。これには、200以上の警察署、フュージョンセンター(多目的政府機関)、その他の法執行機関の訓練や支援リソースからのデータが含まれているとされている。流出したデータには、氏名、Eメールアドレス、電話番号、PDFファイル、画像のほか、テキスト、ビデオCSV、ZIPファイルなどが含まれている。Netsential社は、脅威アクターが、侵害された顧客ユーザーアカウントを介してアクセスし、Webプラットフォームのアップロード機能に悪意のあるコンテンツを導入した可能性が高いことを確認した。

 

BlueKai

セキュリティ研究者のアヌラーグ・セン氏は、オラクルの「BlueKai」に属するデータベースに、数十億件のWebトラッキングデータの記録が含まれていることを発見した。一部のログは2019年8月までさかのぼっていた。これには、氏名、自宅住所、メールアドレス、その他の個人を特定できる情報や、ブラウジング活動などが含まれている。オラクルの広報担当者は、調査の結果、匿名の2社での設定ミスが明らかになったと述べ、流出に気づかされたことを確認した。

 

Mid-Michigan College

同大学は、10人の職員がハッカーによってEメールアカウントを侵害されたことを明らかにした。今回の事件では、最大1万6000人分のデータが漏洩した可能性があるという。(16,000人)

 

North Shore Pain Management

「Ako」ランサムウェアの運営者は、2020年5月に診療所に属するデータを自らのサイト上で公開していた。当時、North Shore Pain Managementは、この侵害に関して、公に発表しなかった。同診療所はその後、データ侵害に関する通知書を発行しているが、この文面ではランサムウェアが関与していたかどうかや、漏洩したデータがオンライン上に流出したことについては言及していない。(14,472人)

 

Florida Orthopedic Institute

同研究所は、2020年4月9日に判明したランサムウェア攻撃について、カリフォルニア州検事総長事務局に通知した。テンプレートの通知によると、攻撃中に患者のデータにアクセスされた可能性があるといい、データには氏名、生年月日、社会保障番号、医療情報などが含まれているという。

 

Twitter

同社は、広告・分析サービスのドメインで閲覧した課金情報が、Webブラウザでキャッシュされている可能性があるとしている。同社の説明によると、共有コンピューターを利用するユーザーがブラウザのキャッシュ内のデータを見ることができた可能性があるという。流出したデータには、電話番号や請求先住所、決済カード番号の下4桁、メールアドレスなどが含まれている。問題は2020年5月20日に修正された。

 

CHI St. Luke’s Health-Memorial Lufkin

2020年4月23日、同病院は、患者情報を含む職員のEメールアカウント2つが、第三者によって不正アクセスされた可能性があることを発見した。流出した可能性のあるデータには、患者名、診断名、勤務日、施設の口座番号などが含まれている。

 

American Medical Technologies

カリフォルニアを拠点とする同組織は、2019年12月にサイバー攻撃を受け、47,767人の個人に影響を及ぼすデータ侵害が発生したと発表した。今回のインシデントで侵害された可能性のある個人情報には、患者名、社会保障番号、カルテ番号などが含まれている。(47,767人)

 

フロスト&サリバン

2020年6月22日、KelvinSecurity Teamは、このコンサルティング会社に属するデータをハッカーフォーラム上で宣伝し、そのデータには顧客の記録6,000件、会社の記録6,146件が含まれていると主張した。同グループは、データを販売するつもりはなく、代わりにフロスト&サリバン社の注目を集めようとしたと述べている。CybleのBeenu Arora氏は、今回の侵害は「フロスト&サリバン社のパブリック・フェイシング・サーバーの1つにあるバックアップ・ディレクトリの設定ミス」によって引き起こされたと述べているが、その後は安全性が確保されている。

 

Choice Health Management Services

同社は2019年後半、ある従業員のEメールアカウントで不審な動きを発見した。不正な個人が、個人の健康情報を含むEメールや添付ファイルにアクセスした可能性がある。同社は、実際にデータが悪用された証拠は見つかっていないと述べている。

 

インドネシア

不明

Cybleの研究者は、23万件以上のコロナウイルス患者の記録を含むデータベースを、DDWマーケットプレイスで販売したとされる、信憑性が高いユーザーを特定したと報告している。漏洩したデータには、氏名、住所、診断日、診断結果などが含まれている。インドネシア政府は、COVID-19検査データの侵害があったことを否定しているが、調査は現在進行中である。(230,000人)

 

インド

Indiabulls Group

2020年6月22日、「CLOP」ランサムウェアの攻撃者は、Indiabulls Groupから盗んだと主張するファイルのスクリーンショットを投稿した。同アクターは、伝票、手紙、4枚のスプレッドシートのスクリーンショットをアップロードし、24時間以内に連絡を取るよう指示していた。Indiabulls Groupは、2020年6月22日にサイバー攻撃の標的となったことを確認しており、今回の事件では機密データは流出していないとしている。

 

マレーシア

jobstreet.com

Cyble社は、信頼できるアクターがDDWフォーラム上で流出した、jobstreet.comに属するデータベースを発見した。このデータベースには、2012年に発生したデータ流出インシデントの際に盗まれたシンガポールのユーザー記録42,242件が含まれている。これには、生年月日、メールアドレス、性別、所在地、政府発行のID、氏名などが含まれている。(42,242人)

 

オーストラリア

BigWorld Technology

Cybernews の研究者は、ゲーム「Stalker Online」のユーザー記録120万件以上を含むデータベースを発見した。また、「Stalker Online」フォーラム上のユーザー記録13万6,000件以上を含むデータベースが、DarkWebフォーラム上で別売りされているのを発見した。これらのデータベースには、ユーザー名やパスワード、メールアドレス、電話番号、IPアドレスなどが含まれている。

 

その他

Telegram

約900MBのTelegramユーザーデータを含むデータベースが、DarkWebフォーラム上で発見された。このデータベースには、ニックネームで識別される数百万のTelegramアカウントと紐づけられた電話番号や、ユニークなユーザーIDが含まれている。流出元は不明のままだが、データがTelegramの連絡先インポート機能を使って収集されたものであることが確認された。(~40,000,000人)

 

 

コロナウイルス流行に関連したマルウェアへの言及

このチャートはコロナウイルスに関連して、先週トレンドとなったマルウェアを示しています。

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

IBM Security Intelligenceの研究者が、バンキング・マルウェア「Ginp」が近い将来、トルコを標的とする方向にシフトする可能性があるという証拠を発見した。このAndroidマルウェアは、かつてスペインの銀行を主な標的としていた。また「Ginp」は、合法的なアプリからのすべてのプッシュ通知をブロックする偽のSMSプッシュ通知や、RAT機能、インジェクション・ロッカーなどの新機能を追加し、進化していると見られていた。

 

政府

オーストラリアのスコット・モリソン首相は、政府、公共サービス、企業が「国家を基盤とした」アクターの手によって進行中のサイバー攻撃で被害を受けていると述べた。個人データの大規模な侵害は発生していないと見られる。ABCに語った複数の政府高官は、中国がこれらの攻撃の背後にいると考えられていることを認めた。モリソン氏は、政府は「いかなる公表も」していないと述べている。

 

テクノロジー

マイクロソフトの報告によると、Exchangeサーバーのインターネット情報サービスコンポーネントに影響を与える、リモートコード実行の脆弱性を悪用しようとする攻撃者が増加している。これらの問題の一例として、CVE-2020-0688が挙げられる。この脆弱性は数ヶ月前からパッチが適用されているが、依然として脅威アクターの標的となっている。こうした攻撃が増加しているにもかかわらず、Exchangeサーバーを侵害するより一般的な手法として、ソーシャルエンジニアリングや、エンドポイントを標的としたドライブ・バイ・ダウンロード攻撃が依然として行われている。

 

小売・ホスピタリティ・観光

2020年6月8日の最初のランサムウェア攻撃に続き、Lion Australia社は6月18日、2回目のインシデントの影響を受けたと従業員に伝えた。 iTWireの報告によると、1回目のインシデントは「REvil」ランサムウェアと関連があり、脅威アクターはファイルの暗号解除のために80万ドルを要求したとのこと。同社の広報担当者は、最初のインシデントでランサムウェアの被害に遭ったことを認めたが、2つ目のインシデントについてはコメントしなかった。

 

医療

ESETの研究者は、カナダ保健省の公式COVID-19追跡アプリ「COVID Alert」を装って、Androidユーザーを狙う新しいランサムウェア「CryCryptor」を分析した。このランサムウェアは、GitHubで発見された「CryDroid」と呼ばれるランサムウェアのオープンソースコードに基づいている。このオープンソースのランサムウェアの開発者は、自分たちのプロジェクトが研究目的のものだと主張しているが、ESETの研究者はこの主張を却下している。この悪質なアプリにはバグが存在し、これにより研究者は同ランサムウェアの復号化ツールを作成することができた。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-19-25-june-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。