2020.08.14

ウィークリー・サイバーダイジェスト – 2020年8月7日〜8月13日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

Boyce Technologies

「DoppelPaymer」ランサムウェアのオペレーターは、自らのブログで、人工呼吸器メーカーに対する攻撃で盗まれたとされるファイルを投稿した。盗まれたファイルには売約定書、注文書、譲渡証などが含まれる。同グループは、身代金要求に応じなければ、1週間以内により多くのデータを漏洩すると脅迫している。

 

Interactive Data LLC

詐欺師が個人の記録と財務記録を、不正な融資申請に利用できるとして宣伝しているとの報告があり、そのデータの多くはInteractive Data社から取得されたと見られる。同社は、「少数の」顧客アカウントが侵害されたことを認め、法執行機関の調査が進行中だと述べた。侵害されたデータには、社会保障番号の全部分、生年月日、現在および過去の住所などが含まれる。(〜2,000人)

 

Bridgford Foods

「Netwalker」ランサムウェアのオペレーターは、同社を狙い盗んだとするデータのスクリーンショットをアップロードしたを主張している。これには会計業務、Amazon、ウォルマート、マーケティング、給与ファイルなどに関連するファイルが含まれる。同オペレーターは盗んだデータを29日以内に公開すると脅迫している。

 

Ma Labs

「REvil」ランサムウェアのオペレーターはブログ投稿で、同社から949GBのデータを盗んだと述べた。これには会社、従業員、顧客、パートナーの機密データ、およびその他の書類が含まれているという。また投稿の中で、同グループの攻撃が1,000以上のサーバーに影響を与えていると主張している。同グループは盗んだデータの一部のスクリーンショットを公開し、盗難データを48時間以内に公開すると脅迫している。

 

Scholarship America

2020年4月28日頃、Scholarship Americaはメールシステム内で不審なアクティビティを検出した。調査の結果、権限のない者がMicrosoft Office 365のメールアカウントにアクセスしていることが判明した。このインシデントで公開された可能性のあるデータには、名前、住所、電話番号、場合によっては社会保障番号が含まれる。

 

不明

米国で働く医師に関する合計2,267,453件のレコードを漏洩している2人の脅威アクターを、Cyble Incの研究者が発見した。漏洩データにはNPI、氏名、住所、電話番号、ライセンス番号などが含まれる。

 

ミシガン州立大学

同大学(MSU)は、攻撃者がMSUのオンラインストアWebサイトの脆弱性を悪用して悪意のあるコードを展開した結果、買い物客の詳細が流出したことを公表した。攻撃は、2019年10月19日から2020年6月26日までの間の約2,600人の顧客に影響を与えた。今回の攻撃による流出データには、名前、住所、クレジットカード番号が含まれていた。(2,600人)

 

Olympia House Rehab 

「Netwalker」ランサムウェアのオペレーターは、このカリフォルニアにあるリハビリテーションクリニックから盗んだとするデータのスクリーンショットを公開した。これには施設とHIPAA、ギブンネーム、リハビリ結果に関するファイル、および「QuickBooks」情報と見られるものに関連したファイルが含まれる。2番目のファイルセットには、財務情報とコピーした患者IDが含まれる。

 

Piedmont Orthopedics

「Pysa」ランサムウェアのオペレーターは、アトランタに拠点を置く整形外科「Piedmont Orthopedics / OrthoAtlanta」が保有する約3.5GBのデータを公開した。データには、賃料や業績に関するファイルのほか、患者名、生年月日、住所、連絡先情報などを含む詳細な医療記録が含まれる。

 

Premier Health Partners

Clinical Neuroscience Institute、Help Me Grow Brighter Futures、Samaritan Behavioral Health Inc、CompuNet Clinical Laboratoriesの患者・顧客の情報が、侵入者による特定のアカウントへの不正アクセスで流出した可能性がある。同社は2020年6月8日に初めてPremier Healthのメールアカウントに異常な活動を発見しており、現在調査が進行中である。

 

Owen’s Ear Center

テキサス州にあるOwen’s Ear Centerは5月28日、ランサムウェア攻撃の標的となり、患者の個人情報が影響を受けた。氏名、生年月日、医療関連情報、社会保障番号などが含まれている。現時点では情報が悪用されたことを示す証拠は見つかっていない。(19,908人)

 

SANS Insitute

2020年8月6日、SANS Instituteの職員がフィッシング攻撃の標的にされ、攻撃者は外部のメールアドレスに転送するよう設定を変更した。攻撃者は氏名、メールアドレス、住所、電話番号を含む513通のメールを受信した。パスワードや財務情報は影響を受けなかった。(28,000人)

 

FHM

2020年2月12日から2月13日の間、侵入者がイリノイ州のこの医療システムのメールアカウントに不正アクセスしていたことが判明した。この期間にアカウント内のメールや添付ファイルが閲覧されたかどうかは不明だ。流出する可能性のあるデータには、患者の名前、生年月日、医療記録や患者アカウント番号、健康保険番号や社会保障番号などが含まれている。

 

Adit

セキュリティ研究者のボブ・ディアチェンコ氏は、この医療用ソフトウェア会社に属し、患者の個人情報を含む保護されていないデータベースを発見した。このデータベースは、約10日間公開されていたが、「meow bot」により削除された。(> 3,100,000人)

 

Woodstream Corporation

ブログ記事の中で、「Netwalker」ランサムウェアのオペレーターは、Woodstream Corporationから盗んだと主張するデータのスクリーンショットを共有した。その中には、監査報告書、機密保持契約書、裏書関連文書などが含まれている。同グループは、29日以内に盗まれたデータを公開すると脅している。

 

オーストラリア

ProctorU

「ProctorU」のユーザーレコード440,000件を含むデータベースが「ShinyHunters」によって公開された。Honi Soitの報告よると今回の侵害では、オーストラリアの多くの大学へのメールを通じて記録が漏洩したという。そこにはシドニー大学、ニューサウスウェールズ大学、メルボルン大学、クイーンズランド大学、タスマニア大学などが含まれる。

 

Pepperstone

この金融取引ブローカーのサードパーティベンダーの1つが2020年7月22日、マルウェア攻撃の被害を受けた。その後、攻撃者は盗んだ資格情報を使用して会社の顧客関係管理に関わる内部システムにアクセスし、一部顧客の個人データが影響を受けた。これには、名前、連絡先の詳細、および生年月日が含まれる。

 

Seek

求人検索エンジンのSeekは、「内部技術的な問題」により、ユーザーが他の候補者の職歴や学歴を見ることができるようになったと報告した。氏名、連絡先、履歴書に影響はなかった。(2,000人)

 

カナダ

Metrolinx

Metrolinxは、コンプライアンスサービス「Go Transit」を利用したユーザーに大量のメールを送信する際、誤って2,000人以上の顧客のメールアドレスを公開した。(2,000人)

 

Canadian Tire

「Netwalker」ランサムウェアのオペレーターは、とある小売会社を侵害し、店舗の1つから機密データを盗んだと主張し、8日以内に公開すると脅迫した。グループは、従業員の詳細、財務諸表、銀行勘定調整表などを含むフォルダとファイルを示すスクリーンショットを投稿した。

 

インド

Slice

ハッカーが、インド人学生21,000人以上の個人データを含む56GBのデータを販売しているのを、Cyble Incが発見した。売り手によると、これはフィンテックのスタートアップの公開された「Cloudinary」バケットから取得されたものだという。データは2020年7月に盗まれたと伝えられ、アドハーカード、大学ID、写真、署名の全体、公開名、電話番号、メールアドレス、アドハー番号、生年月日などが含まれている。(21,000人〜)

 

英国

Monsoon Accessorize

Monsoon Accessorizeが未パッチの「Pulse Connect Secure」VPNサーバーを使用していることを、VPNProの研究者が発見した。サーバーには重大な欠陥「CVE-2019-11510」が含まれている。研究者たちは、顧客情報、機密ビジネス文書などを含む会社の内部ファイルへのアクセスに成功した。

 

アルゼンチン

サンフアン当局

患者115,281人の記録を含む、公開されたElasticsearchクラスターをComparitechの研究者が特定した。この記録にはCOVID-19隔離免除の許可を申請した個人の名前、性別、写真、身分証番号、労働者番号などの情報が含まれる。データベース内のこうした情報を使えば、雇用主、雇用主住所、外出禁止時間など、さらに多くのデータにアクセス可能だ。データベースは現在保護されている。

 

フランス

The SPIE Group

「Nefilim」ランサムウェアの背後にあるグループが自らのブログで、同社から盗んだとする11.5GBのデータを含むリークの「第一弾」を公開した。これには同社の通信サービス契約、解散に関する法的文書、委任状など、企業経営に関わる文書が含まれる。

 

ポーランド

Devire

Cyble Incの研究者は、脅威のアクターがDevireの顧客の個人情報約57万件のレコードを含むデータベースを流出させているのを発見した。データには、リクルートID、姓名、メールアドレス、電話番号、住所、役職の詳細などが含まれている。

 

不明

不明

サイバーニュースの研究者が、保護されていないAmazon AWSのサーバーに3億個のユニークな文字列のメールアドレスが含まれているのを発見し、そのうち5,000万個が暗号化されていなかったことがわかった。このデータは、2018年10月にブラックマーケットで盗まれたか、入手されたものと思われる。データベースは2020年6月10日に保護された。データベースの所有者は不明のままだ。(3億人)

 

バンキングに関連して言及されたマルウェア

このチャートはバンキングに関連して、先週トレンドとなった攻撃タイプを示しています。

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

重要インフラ

2020年8月10日以降、ペンシルベニア州南東部交通局(Southeastern Pennsylvania Transportation Authority:SEPTA)では、顧客との重要な旅行情報の共有に問題が発生している。進行中の調査により、同社のサーバーがマルウェアの標的にされていたことが明らかになった。SEPTAのキーカード情報は侵害されておらず、攻撃が同社のサービスに影響を与えたり、混乱を引き起こしたりすることはなかった。SEPTAによると、他の組織も影響を受けたとのことだが、詳細は明らかにされていない。

 

政府

2020年6月から8月にかけて、ClearSkyの研究者たちは、主に防衛および政府系企業をターゲットとする、Dream Jobと呼ばれるスパイ活動を調査した。攻撃は2020年の初めから継続しており、世界中の企業や組織を標的にしている。一部の攻撃は成功した。このキャンペーンは高い確率でLazarus Groupによるものであり、求人をテーマにしたキャンペーンにはいくつかのソーシャルエンジニアリング手法が含まれている。

 

テクノロジー

Shadow Intelligenceのセキュリティ研究者は、「bcorp33」というエイリアスのもと活動する脅威アクターが、世界中の大企業や中小企業のネットワークへのアクセスを提供していることを報告した。この攻撃者はボットネットを利用してターゲットを特定して列挙し、Pulse Secure VPNのCVE-2019-11510とF5のBig-IPデバイスのCVE-2020-5902を悪用している。「bcorp33」に関連する侵害には、現代コーポレーション、LGエレクトロニクス、ペプシコ、セルナボダ原子力発電所、台湾とペルーの政府機関などが含まれている。Shadow Intelligenceは、「bcorp33」が「Drumrlu」や「Marlon_Brando」と並んで、FXMSPグループの新たな仲間であると報告した。このグループは以前、シマンテック、トレンドマイクロ、マカフィーのネットワークへのアクセスを宣伝していた。

 

医療

Checkpointの研究者は、ワクチン関連のコロナウイルスドメインの数が、2020年6月から7月の間に2倍に増加していることを明らかにした。コロナウイルスをテーマにした悪質なサイト25件のうち、1件がワクチン関連であることがわかった。2つのマルスパムキャンペーンが観測され、1つ目は承認されたワクチンに関する情報を含むと称して、被害者のデバイス上にインフォスティーラーを配信していた。2つ目のメールは、英国のコロナウイルスワクチンの取り組みがかなり進んでいることをユーザーに知らせていた。メッセージにはリンクが含まれており、ある時点でカナダの薬局を装った医療用フィッシングサイトにリダイレクトされていた。

 

暗号通貨

暗号通貨プラットフォームのEthereumが2020年7月31日と8月6日に同じ攻撃者の標的となり、500万ドル以上のEthereum Classic(ETC)が盗まれるインシデントが発生した。今回の攻撃を受け、Coinbase社はETCの確認時間を2週間に延長したほか、Ethereum Classicはすべての取引所、マイニングプール、その他のETCサービスプロバイダーにブロックチェーンの更新時間の引き上げを推奨している。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-07-13-august-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。