2020.07.10

ウィークリー・サイバーダイジェスト – 2020年7月3日〜7月9日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

V Shred

VPNMentorの研究者は、V Shredに属する公開データベースを発見した。データベースのサイズは606GBで、カスタムミールプラン、ユーザーの写真、および個人を特定できる情報を公開しているCSVファイルが含まれていた。その後削除されたCSVファイルには、氏名、自宅住所、メールアドレス、電話番号、生年月日、社会保障番号などが含まれていた。(99,000人未満)

 

Central California Alliance for Health

同組織は2020年5月7日、不正な第三者が従業員の3つのメールアカウントにアクセスしたことを発見した。調査の結果、一部の会員の健康情報がアクセスされた可能性があることが判明した。財務データや社会保障番号は公開されていなかった。

 

ノックスビル市

「DoppelPaymer」ランサムウェアの運営者は2020年6月11日、同市に対するランサムウェア攻撃の後、市から盗んだデータを流出させた。その中には、職員の氏名、電話番号、住所、給与、勤務成績などが含まれている。市当局は現在、流出の全容を調査している。

 

CNY Works

同機関は、ランサムウェア攻撃の疑いで個人情報が流出した可能性があるとして、顧客への通知を開始した。同機関は、データが「閲覧、アクセス、削除」されたことを示す証拠は見つかっていないとしている。2019年12月21日に発見された攻撃で公開された情報には、氏名や社会保障番号などが含まれていた可能性があるという。(~56,000人)

 

Trinity Metro

「Netwalker」ランサムウェア運営者のデータ侵害サイト上の投稿には、テキサス州政府が運営する交通機関から流出したとされる200以上のTrinity Metroのフォルダがリストアップされている。2020年7月1日、Trinity Mentroは、ITインシデントにより電話回線に影響が出たと述べている。

 

Legacy Community Health

このテキサス州のヘルスクリニックは、2020年4月に検出されたデータ侵害について19,000人の患者に通知した。侵害は、同社の従業員のメールアカウントの1つに対するフィッシング攻撃の結果である。流出されたデータには、患者の名前や診断を受けた日、健康情報などが含まれている可能性がある。(19,000人)

 

Healthcare Fiscal Management Inc

2020年4月13日、コンバージョン・保険資格サービスプロバイダがランサムウェア攻撃を受けた。攻撃者は、名前や生年月日、社会保障番号など、セント・メリーズ病院・ヘルスケア・システムの患者の保護された健康情報にアクセスした可能性がある。(58,000人)

 

テキサス州クック郡

「REvil」ランサムウェアの運営者は、同郡政府に属するファイルのスクリーンショットを投稿し、7日後には盗まれたデータを公開すると脅している。

 

EDP Renewables North America

EDP Renewables North America(EDPR NA)は、親会社のEnergias de Portugalが2020年4月13日に「Ranger Locker」ランサムウェア攻撃を受けた後、2020年5月8日に不正な個人が同社のシステムにアクセスしたとの情報を得た。同社は氏名や社会保障番号などのデータを保存しているが、EDPR NAは、攻撃者がこのデータにアクセスしたという証拠はないと述べている。EDPR NAは「十分な注意を払って」顧客に通知していると主張している。

 

Southwest Funding

2020年5月20日、Security DiscoveryのJeremiah Fowler氏は、695,636件のレコードを流出していた公開データベースを特定した。その中には、氏名、メールアドレス、融資額、内部コンテンツ管理記録、設定情報などが含まれていた。データベースの内部には「howtogetmydataback(データを取り戻す方法)」という名前のランサムウェアのメモも見つかった。データベースにアクセスしていた期間、アクセスした可能性のある人物、データが流出したかどうかは不明である。

 

Zipari

Providence Health Planは2020年4月17日、取引先のZipariからコーディングエラーに関する通知を受けた。このエラーにより、雇用主が出資するプランの登録書類が、暗号化されていない状態のままオンライン上に流出していた。Zipariは、2019年5月、9月、11月に、特定の文書が不正なIPアドレスによってアクセスされていたことを発見した。流出したデータには、雇用者名、会員名、会員の生年月日などが含まれていた。(49,511人)

 

Freddie Mac

同社の請負業者に対するランサムウェア攻撃により、ローン申込者のデータが侵害された可能性がある。Freddie Macはどのようなデータに影響が及ぶ可能性があるかについて、判断できないと述べている。システムに保存されていたデータには、氏名、住所、社会保障番号、生年月日、信用情報、銀行口座情報などが含まれていた。同社は、この種のデータは、請負業者との契約条件に従って暗号化されていると付言している。また、同社と直接関係がない個人の情報も保有していると付け加えた。この情報は、他の貸金業者から購入した住宅ローンを通じて取得したという。

 

アラバマ州チルトン郡

同郡は2020年7月7日にランサムウェア攻撃の標的となり、タグ・オフィスや検認裁判所の記録を含む、同郡の記録システムに一時的な障害が発生した。特定のデータが標的にされたかどうかについては、調査中だ。

 

Independence Blue Cross
AmeriHealth HMO Inc
AmeriHealth Insurance Company of New Jersey

これらの企業の会員ポータルは、2020年3月17日から4月30日の間に不正な個人によってアクセスされた。調査の結果、第三者のWebサイトやアプリケーションでの侵害行為を通じて入手した、有効な資格情報が使用されていたことが明らかになった。流出する可能性のあるデータには、氏名、会員識別番号、プランの種類、支出口座の残高、ユーザーの報酬の概要、クレーム情報などが含まれていた。

 

オーストラリア

政府

3,600以上のMyGovアカウントのログイン認証情報がDarkWeb上で販売されている。これらのアカウントは、15万件以上の「.com.au」のログイン情報のリストに含まれている。(3,600人未満)

 

インド

デリー大学

デリー大学(DU)のWebサイトでは、学生が次期試験に向けてDUの入試カードを入手する「DU admit card 2020 download portal」を介して学生の情報が公開されていると報じられている。Twitter上の2人のユーザーは、ゲートウェイのパスワードがDUの各大学で同一であると報告した。そのため、ある学生の名前とロール番号を知っているユーザーは、その学生としてポータルにログインすることができた。

 

Impact Guru

Cybleの研究者たちが、このクラウドファンディング・プラットフォームに属するデータを所有していると主張するDarkWeb上のアクターを特定した。流出した情報は、50万7,000人以上のユーザーの記録で構成されている。データには、平文と暗号化された形式で保存されたEメールのID、パスワード、8,000人以上のユーザーの銀行口座の詳細、チャット履歴、IPアドレスロケーション、Aadharカード番号などが含まれている。(8,000未満)

 

インド国道庁(NHAI)

Mazeランサムウェアの運営者は、約2GBのデータを流出させた。その中には、NHAIの職員名簿、元トップのパスポートコピー、NHAI職員の扶養家族の詳細、NHAIの内部監査報告書などが含まれている。

 

英国

NHS オークニー

保健局の機密ファイルが地元のジャーナリストにメールで送信され、NHSオークニーのジャーナリスト10人の個人情報が公開された。この事件で暴露された情報には、氏名、役職、旅行情報、税務申告情報などが含まれている。(10人)

 

ブラジル

Hapvida Sistema de Saúde

同社はサイバー攻撃の標的となり、顧客の個人情報が流出した可能性がある。医療記録や財務情報は影響を受けなかったようだが、侵害の範囲についての調査は現在進行中。

 

中国

Xiaoxintong

サイバーニュースは、この高齢者介護サービス事業者が所有するアクセス可能なデータベースを特定した。そこには、携帯電話番号、ハッシュ化されたパスワード、個人IDなどを含む34万件の記録が含まれていた。データベースはその後、保護されている。

 

Shanghai Yanhua Smartech

漏洩したデータベースがCyberNewsの研究者によって発見された。研究者は、そのデータベースがShanghai Yanhua Smartech社ものであると「それなりに確信している」という。このデータベースには420万件以上の記録が含まれており、名前、ID番号、オーディオファイル、車両や施設の情報などが流出した。以来、データベースは閉鎖されている。

 

エジプト

Swvl

このバス予約サービスは2020年7月3日、同社のシステムへの不正アクセスに気づいたと発表した。侵害は、顧客の氏名、メールアドレス、電話番号に影響を与えている。パスワードやクレジットカード情報は流出しなかった。

 

その他

不明

KELAの研究者は、KelvinSecurityチームが、英国のBMW所有者384,319人の詳細を含むデータベースから利益を得ようとしていると報告した。そのデータには、名前、メールアドレス、車両番号などが含まれている。KELAによると、同グループがコールセンターから得たと主張しているデータベースには、英国の自動車所有者に関連する約50万人の顧客記録が含まれているという。データは2016年から2018年までの分である。影響を受けたブランドとしては、メルセデス、SEAT、ホンダ、ヒュンダイなどが挙げられる。(384,319人)

 

複数のサイト・アプリ

WizCaseの研究者は、米国、日本、韓国の出会い系サイトが、保護されていないサーバーを介してユーザーのデータを流出していたことを特定した。侵害の影響を受けたのは、Charin、Kyuun、Blurry、YESTIKI.com、SPYKX.com、CatholicSingles.com。漏洩した情報には、本名、メールアドレス、請求先住所、プライベートメッセージ、クリアテキストパスワードなど、数百万人のユーザーの情報が含まれている。さらに6つの安全ではないサーバーが、さまざまなアプリやサイトの情報を含んでいることが判明したが、これらのサーバーの所有者は明らかになっていない。

 

Clubillion

vpnMentorの研究者が、このアプリに属するElasticsearchデータベースを発見した。このデータベースは、数千人のユーザーの行動や個人情報を流出していたといい、2020年4月5日ごろに保護された。流出したデータには、1日あたり約2億のテクニカルログが含まれていた。これらの記録には、IPアドレスやメールアドレス、賞金、プライベートメッセージなど、個人を特定できる情報も含まれていた。

 

バンキングに関連したマルウェアへの言及

このチャートはバンキングに関連して、先週トレンドとなったマルウェアを示しています。

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

Avastの研究者が、「Calculadora de Moneda」と呼ばれる通貨変換アプリを装ったバンキング型トロイの木馬「Cerberus」を、Google Playストアで発見した。このアプリはスペインのユーザーをターゲットにしており、1万回以上ダウンロードされている。同アプリは、おそらく不正行為をする前に多くのユーザーを得るため、最初に悪意があることを隠すことでGoogle Playのセキュリティメカニズムを迂回することに成功したと見られる。その後このアプリは、最終的にマルウェアをダウンロードする別のアプリを密かにダウンロードする、ドロッパーとして機能した。このマルウェアのC2サーバーは、短期間だけアクティブとなった後に姿を消し、アプリはその後、良性のものに戻っている。今回の発見は、Google Playストアに報告された。

 

重要インフラ

ブラジルのエネルギー会社「Light SA」は、同社システムに対するサイバー攻撃を認めたが、詳細は明らかにしなかった。AppGateの研究者は、攻撃で使用された可能性の高いバイナリを分析し、それが「Sodinokibi」ランサムウェアであることを指摘した。攻撃者は当初、Moneroで700万ドルの身代金を要求していたが、期限が過ぎたため、身代金を1400万ドルに引き上げた。

 

政府

「Maze」ランサムウェアのオペレーターは、インド国道庁(NHAI)に属する約2GBのデータを流出させた。これは、サーバーから盗んだデータ全体の5%に相当すると、同アクターは主張している。流出したデータには、NHAIの職員リスト、元トップのパスポートコピー、NHAI職員の扶養家族の詳細、NHAIの内部監査報告書などが含まれている。

 

テクノロジー

CriticalStartの研究者は、最近公開されたF5「BIG-IP」の欠陥に対する緩和策に対するバイパスを特定した。CVE-2020-5902として追跡されているこの欠陥は、認証されていないリモートの攻撃者に、「BIG-IP」アプリケーション配信コントローラの「Traffic Management User Interface(TMUI)」へのアクセスを許可する。不正アクセスに成功すると、攻撃者はリモートで任意のシステムコマンドや Java コードを実行することができるようになる。Bad Packetsは、DDoSマルウェアを配信するために悪用されている欠陥を特定したと報告している。

 

小売・ホスピタリティ・観光

Geminiの調査によると、2017年4月1日から現在に至るまで、「Keeper」Magecartグループは55カ国、570以上のEコマースサイトを標的にしてきた。攻撃の85%以上がMagentoのCMSを使用していた。被害者数が最も多かったのは米国で、次いで英国、オランダと続いた。

研究者らは、同一のログインパネルを使用し、同一の専用サーバーにリンクされている64の攻撃ドメインと73の収集ドメインを特定した。このサーバーは、盗まれたデータと攻撃に使用されたペイロードをホストしている。研究者らは、同グループが侵害されたペイメントカードを販売して、700万ドル以上を稼いだと推定している。操作の巧妙さと規模を継続的にアップグレードしている同グループは、今後も攻撃を仕掛けてくる可能性が高いと、Geminiは警告している。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-03-09-july-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。