2020.07.17

ウィークリー・サイバーダイジェスト – 2020年7月10日〜7月16日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

英国

Hamilton Brown 

Hamilton Brown社に属するとされるデータが、要求された身代金の支払いを同社が拒否した後、「Ako」ランサムウェアのオペレーターによってオンライン上に公開された。これには、同社の従業員に関する個人データが含まれている。攻撃者は、7日以内にさらに多くのデータを公開すると脅している。

 

不明

KELAの研究者は、Eメールとユーザー名を含む480万件の記録がDarkWeb上で販売されているのを発見した。10,000通のEメールサンプルを分析したところ、重複しているのは3%だけだと判明した。影響を受けているのは、英国、米国、ニュージーランド、オーストラリア、南アフリカ、ドイツ、フランスのユーザーだ。データベースを提供しているハッカーは、データが「ショッピングとFX取引のサイト」からのものだと主張しているが、研究者は英国に拠点を置くチケットプロバイダーのものだと確信している。

 

Alfanar

「NetWalker」ランサムウェアのオペレーターは、電気工事部品などを製造する企業、Alfanar社のものだとするデータを流出させた。漏洩したデータには、契約書、監査報告書、保険書類などが含まれていると見られる。

 

インド

Religare Health Insurance 

同社のデータがDarkWeb上で販売されていることを、Cybleが報告した。データは、誤って設定されたサーバーを経由してアクセスされたと報告されており、攻撃者はWebシェルもアップロードしたとされている。脅威アクターは、500万人以上の個人データを販売しており、公開された情報は顧客と従業員の両方に属している。ここには、名前、住所、携帯電話番号、生年月日などが含まれる。(500万人)

 

Dunzo

このデリバリースタートアップ企業は、ユーザーの電話番号やメールアドレスが流出したデータ漏洩事件を公表した。漏洩は、同社がデータベースを保存するために利用しているサードパーティー・サービスのサーバーが侵害されたことによるものだった。クレジットカードや取引情報などの支払い情報には影響がなかった。

 

ロシア

ロシア政府

先日行われたロシアの憲法改正に関する、ブロックチェーンを利用した電子投票に参加した市民のデータを含むデータベースが、2020年7月1日、政府のWebサイトで数時間にわたって公開された。このデータはその後、Telegram上で出回っている。また、モスクワとニジニ・ノヴゴロドの有権者100万人以上のパスポート番号を含む、第二のアーカイブもWebサイト上で自由に公開されていた。データは暗号化されていたが、流出を調査している記者は、フリーソフトを使えば「非常に簡単に」解読できると述べている。デジタル発展・通信・マスコミ省は、「漏洩の可能性はない」と述べた。

 

その他

不明

信頼できるDarkWebのユーザーが、複数の国からタイとマレーシアに訪れた4,500万人以上の旅行者データを持っていると主張していると、Cybleの研究者が報告した。そのデータは、名前、携帯電話番号、パスポートの詳細などに関するものだという。 (4500万人)

 

不明

2020年7月14日、DDoS攻撃グループは、ウィキリークスに関連するデータ集を公開した。「AssangeLeaks」と名付けられたこのデータは、少なくとも2010年までさかのぼり、ジェレミー・ハモンド、シグルドゥール・トルダーソン、そしてアサンジが使用した偽名に関連するチャット記録の再現を含んでいる。

 

DataViper

2020年7月13日、ハッカーが「DataViper」のバックエンドサーバーへのハッキングに関する詳細を含むDarkWebポータルへのリンクを、複数のサイバーセキュリティ記者にEメールで送った。ハッカーたちは、「DataViper」内部にインデックスされた8,225個のデータベースのリストを掲載し、そのうち最大のもの50個を、DarkWebマーケットプレイス「Empire」に掲載した。ZDNetによると、これまでに見たことのないものも含まれているという。ヴィニー・トロイア氏は今回の侵害を認めたが、サーバーはテスト・インスタンスであると主張した。また、データは何年も前から公開されており、ハッカーが販売しているのは彼から盗まれたデータではなく、ハッカー自身のデータベースだと付言した。

 

トルコ

Doctor Atadan Egemen Koyuncu

トルコのデータ保護当局(KVKK)は、Doctor Atadan Egemen Koyuncu を狙ったサイバー攻撃が、2020年7月5日にあったことを明らかにした。流出したデータには、メールアドレスや病歴、電話番号などが含まれている。(1万人)

 

イスラエル

eToro

2020年7月6日、「Sheriff」というエイリアスを使った脅威アクターが、ソーシャル取引プラットフォーム「eToro」のユーザーが所有する、6万2,000件のアクティブなアカウントを販売するオークションを宣伝した。流出したデータには、ログイン認証情報、電話番号、郵便番号、残高などが含まれている。「Bank Security」として知られるセキュリティ調査員は、別の脅威アクターが複数のフォーラムで「eToro」アカウントを宣伝していることを確認した。(6万2000人)

 

米国

Collabera

2020年6月8日に発生した同社に対するランサムウェア攻撃の調査で、攻撃者が同社のシステムから一部のデータを入手していたことが明らかになった。これには、従業員の氏名、住所、連絡先や社会保障番号、生年月日、雇用手当、パスポートや出入国ビザの詳細などが含まれる。

 

Benefit Recovery Specialists Inc

2020年4月30日、テキサス州を拠点とするこの債権回収会社は、同社システム上にマルウェアを発見した。このマルウェアにより、不正な個人が保存済みの保護された健康情報にアクセスし、これを流出させることが可能になった。流出したデータには、氏名、生年月日、サービスの日付、プロバイダー名などが含まれている。場合によっては、社会保障番号も漏洩している可能性がある。(274,837人)

 

Benefit Recovery Specialists Inc

2020年4月30日、テキサス州を拠点とするこの債権回収会社は、同社システム上にマルウェアを発見した。このマルウェアにより、不正な個人が保存済みの保護された健康情報にアクセスし、これを流出させることが可能になった。流出したデータには、氏名、生年月日、サービスの日付、プロバイダー名などが含まれている。場合によっては、社会保障番号も漏洩している可能性がある。

 

LiveAuctioneers

2020年7月10日、データ侵害ブローカーがオークションサイト「LiveAuctioneers」から盗まれたデータの販売を開始し、そこに340万人分のユーザー記録が含まれていると主張している。「LiveAuctioneers」は、2020年6月19日にデータ処理パートナーの1社が侵害を受けたことを認めており、広告データを分析したところ、英国と米国のユーザーの情報が含まれていることが判明した。これには、メールアドレス、ユーザー名、住所、ソーシャル・メディカル・プロファイル、MD5でハッシュ化されたパスワードなどが含まれているという。また、このデータブローカーは、300万件のアカウントのパスワードが解読されたと主張している。(300万人未満)

 

Mid-Delaware Imaging

同社は2020年1月30日にランサムウェア攻撃の標的となり、調査の結果、一部の患者情報が攻撃者によってアクセスされた可能性があるか、もしくは攻撃の結果、復元不可能な状態になっていたことが判明した。侵害された可能性のあるデータには、人口統計情報、生年月日、運転免許証番号、医療情報、請求書や財務情報などが含まれている。

 

Citrix

同社のネットワークが侵害されたという主張に対する調査で、脅威アクターが入手したデータがサードパーティーからのものであることが明らかになった。その後、データへのアクセスは停止された。同社は、そのサードパーティーが保有しているのは「機密性の低い業務連絡先情報」のみであると付言している。

 

カナダ

Wattpad

2020年7月7日以降、BleepingComputerは同社データベースの相対売買に関連した言及を追跡している。売り手は、このデータベースに2億7,100万人のユーザーの詳細が含まれているとしているが、「Wattpad」の2019年の総ユーザー数は8,000万人にとどまると報じられている。売り手は最近、ユーザー名、ハッシュ化されたパスワード、Eメール、一般的な地理的位置などを含むデータを無料で提供し始めている。

 

香港

UFO VPN

Comparitechの研究者が、ユーザーログやAPIアクセスの記録を含む、保護されていない一般公開されたデータベースを発見した。同社は、漏洩した894GBのデータが、個々のユーザーを特定するために使用できることを発見した。漏洩したデータには、プレーンテキストのパスワード、VPNセッションの秘密とトークン、ユーザーデバイスとVPNサーバーのIPアドレス、接続タイムスタンプ、ジオタグなどが含まれている。データベースは、保護される前に3週間にわたって公開された。

 

ニュージーランド

LPM Property Management

Vadix Solutions社のJake Dixon氏が、同社のものと思われる保護されていないAmazon S3データベースを発見した。その後、データベースは保護された。暴露されたデータには31,610個のファイルが含まれていたが、そのうち画像ではないものは15個だけだった。画像は、ユーザーのパスポート、運転免許証、年齢を証明する書類、申請写真、破損した財産の画像などでした。

 

医療に関連して言及された攻撃タイプ

このチャートは医療に関連して、先週トレンドとなった攻撃タイプを示しています。

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

Trustwaveの研究者が、中国の税務ソフト内にある「GoldenHelper」マルウェアを特定した。このマルウェアは、2018年1月から2019年7月までのキャンペーンで使用されており、最近発見された「GoldenSpy」のバックドアマルウェアに先立って運用されていた。いずれのケースにおいても、マルウェアはアイシーノ社にリンクされており、同社の子会社がマルウェアを含む「Golden Tax」関連ソフトウェアの作成に利用されていた。「GoldenHelper」の主な目的は、SYSTEMレベルの権限で最終ペイロードをダウンロードして実行することだ。

 

政府

米中央情報局(CIA)が、トランプ大統領の極秘承認を受けて2018年からイランなどに対する秘密のサイバー作戦を実施していると、元米政府関係者がヤフーニュースに語った。同指令に基づき、ハッキング&ダンプ作戦を含む少なくとも十数件の作戦が行われたという。この認可により、CIAはホワイトハウスの承認を必要とせずにこれらの作戦を実施できるようになったと報じられている。これらの作戦は、情報収集ではなく、破壊工作を目的とした攻撃的なサイバー作戦であると言われている。指令で直接言及されている国は、ロシア、中国、イラン、北朝鮮などだが、指令はその他の国にも適用されると報じられている。また、銀行やその他の金融機関、報道機関、慈善団体、宗教団体、敵国の外国諜報機関のために活動していると思われる企業なども、この指令の対象となる可能性がある。

 

医療

Cybleは、インド企業「Religare Health Insurance」のデータがDarkWeb上で販売されていると報告した。データは誤って設定されたサーバーを経由してアクセスされたと報告されており、攻撃者はWebシェルもアップロードしたとされている。同脅威アクターは、500万人以上の個人のデータを販売しており、流出した情報は顧客と従業員の両方に属しており、顧客の場合、氏名、住所、携帯電話番号、生年月日などが含まれている。従業員の詳細には、名前、生年月日、ユーザー名、パスワード、およびそれに類する情報が含まれている。

 

小売、ホスピタリティ、観光

ハッカーが現在、MGMホテルの宿泊客142,479,937人分の詳細をDarkWeb上で販売している。2019年のMGMのデータ侵害に関する当初の報告では、1060万人の宿泊客が影響を受けていることが示唆されていたが、ZDNetは現在、侵害は1億4,200万人よりもさらに大きいと推測している。2000万人分のデータを持つ別のバッチが2020年7月12日に投稿された一方で、ロシア語ハッキングフォーラムに投稿された他の投稿も、最近では2億人以上のゲストのデータを宣伝していた。MGMはZDNetに対し、侵害の範囲を認識しており、影響を受けたすべての個人に通知したと伝えた。同社はまだ侵害の詳細を明らかにしていない。

 

暗号通貨

バラク・オバマ、ジェフ・ベゾス、カニエ・ウェストなどの著名人、テクノロジー企業の幹部、暗号通貨取引所などが所有していたツイッターの高名なアカウントが、ビットコイン詐欺師に乗っ取られる事件が相次いでいる。ツイッターは、同社の従業員を標的とした組織的攻撃により、ハッカーがユーザーアカウントを掌握できたことを明らかにした。攻撃を受けて同社は、多くの検証済みアカウントのツイートを停止し、一部のアカウント機能を無効化した。詐欺師たちは、暗号通貨を送ったユーザーが見返りに2倍の金額を受け取るとツイートで主張していた。BleepingComputerによると、この詐欺に関連したウォレットには、約10万5000ドルの暗号通貨が入っていたという。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-10-16-july-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。