2020.08.21

ウィークリー・サイバーダイジェスト – 2020年8月14日〜8月20日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

Metropolitan Community College of Kansas City

最近発生したランサムウェア攻撃の調査により、攻撃者が2020年3月10日から6月4日までの間に、学生や従業員の個人情報にアクセスしていた可能性があることが判明した。この情報には、氏名や社会保障番号、運転免許証の情報などが含まれる。データが攻撃者に抜き取られたかどうかは判断できなかった。

 

複数のWebサイト

2020年8月10日、脅威アクターがユタ州を拠点とする様々なサイトのデータベースを投稿した。ハッカーの主張によると、データベースには「ユタ州銃取引所」のユーザー記録195,651件、同引所動画サイトのユーザー記録45,956件、「Deep Jungle Kratom」のユーザー記録24,666件、そして「Muley Freak」のユーザー記録15,726件が含まれているという。流出データはサイトごとに異なる。

 

不明

6万1,000件以上の患者記録を含み、設定ミスのあるAmazon S3ストレージバケットがオンライン上で発見された。アクセス可能なデータは合計 33GB で、医療記録を含むファックスのスキャンで構成されていた。影響を受けた患者はBioTel Heartで受診していたか、BioTel Heartに関係していた。しかしファックスはSplashRx/HealthSplashによって処理されたと見られる。データは、2019年5月以降からアクセスできていた可能性がある。

 

ブラウン・フォーマン

ランサムウェア「Sodinokibi」の運営者は2020年8月14日、同社のクラウドデータストレージや一般的な仕組み、ユーザーサービスなどを1カ月以上かけて調査したと供述した。この攻撃者は、契約書や社内通信、決算書など約1TBのデータを盗み出したとしている。同社は攻撃とデータ流出を認めている。

 

複数の医療関連企業

DataBreaches[…]netはセキュリティ研究者のJelle Ursem氏と共同で報告書を発表した。これによるとGitHub上で患者記録を流出させている米国の9つのエンティティをUrsem氏が発見したという。データはXybion、MedPro Billing、Texas Physician House Calls、VirMedica、MaineCare、Waystar、Shields Health Care Group、AccQData のものだという。9番目のエンティティはデータが保護されていないため名前が挙がっていない。(200,000人)

 

Interstate Restoration

「Maze」ランサムウェアは、同社から盗んだと見られる約800MBのデータを公開した。流出データには、雇用契約書や身上調査などといった現在と過去の従業員に関する詳細や、商標契約書や資産売買契約書などの企業データが含まれている。グループは、これが盗まれた全てデータの約5%に当たると主張している。

 

Aura Sequential Testing

Albion Collegeの学生によると、Android版COVID-19接触追跡アプリのバックエンドサーバー用のAWSキーが、アプリのコード内でアクセス可能だった。これにより、非公開の健康データを含む、アマゾンがホストするUS-West-2リージョン内のバックエンドデータや仮想マシンにアクセスできた。データがすでに侵害されたかどうかは不明だ。

 

Pinnacle Clinical Research

Pinnacle Clinical Researchは2020年4月、不正アクターによって会社のメールアカウントからデータが漏洩したことを検知した。暴露された可能性のあるデータには、氏名、住所、電話番号、病歴、治療情報などの情報が含まれていた。一部のケースでは、データには社会保障番号、運転免許証番号、クレジットカード情報、関連するPIN番号、および同様の機密情報が含まれていた。

 

英国

Ritz

Ritzは、予約済みの顧客がホテルのスタッフを装った詐欺師から連絡を受けた後に発生した、同社飲食物予約システムにおけるデータ漏洩の可能性を調査している。詐欺師は被害者の予約内容を正確に把握し、カード情報の確認を要求してきた。

 

Carnival Corporation

2020年8月15日、 Carnival Corporation とCarnival plcは、同ブランドのITシステムの1つにランサムウェア攻撃が検出され、データへのアクセスと暗号化の被害を受けたと報告した。ゲストや従業員の個人データが影響を受けたと報告されている。Bad Packetsによると、Carnivalは、脆弱性「CVE-2019-19781」を持つ複数のCitrixサーバーと、「CVE-2020-2021」の影響を受けるPalo Alto Networkのファイアウォールを使用していたという。

 

メキシコ

CIBanco SA

「REvil」ランサムウェアのオペレーターは、CIBanco SAに侵入し、同銀行から盗まれたとされるデータの「パート1」を公開したと、ブログで主張している。また同グループは、さらに2回に分けてより多くのデータを公開すると脅している。今回のデータ流出は比較的小規模なもので、信用報告書や産業分析報告書など、機密性の高い企業情報が含まれている。

 

カナダ

GCKey services および カナダ歳入庁

GCKeyアカウント9,041件のパスワードとユーザー名を標的としたクレデンシャル・スタッフィング攻撃が実施され、政府サービスへのアクセスを試みるために使用された。攻撃の3分の1は、標的サービスへのアクセスに成功した。今回のGCKey攻撃と、別の類似したインシデントにおいて、5,500件のCRAアカウントも標的にされた。標的アカウントへのアクセスは、納税者情報を含んでおり、現在は無効化されている。(14,541人)

 

カナダ王立軍事大学

2020年7月に同大学を狙ったランサムウェア攻撃の後、ランサムウェア「DoppelPaymer」のオペレーターは、盗んだと主張するデータの一部を流出させ始めている。今回の流出は約1GBに及び、同大学への寄付金、備品やレストラン用品の請求書、学生の合格・不合格通知などに関連する文書を含んでいる。

 

南アフリカ

Momentum Metropolitan

同社の発表によると、2020年8月13日に攻撃者は子会社の1社から管理・財務データに関連する情報を盗み出すことに成功したという。顧客情報は盗まれなかった。

 

Experian

Experianの南アフリカ支店は、脅威アクターが顧客を装って個人情報を入手したインシデントを確認した。Sabricによると、この侵害は2400万人の個人と79万3749社の企業に影響を与えたという。暴露されたデータには個人情報が含まれていたが、金融やクレジット関連の詳細は影響を受けなかったようだ。Experianは、犯人は特定されており、流出前に当局が不正利用されたデータを確保したとしている。

 

複数の組織

Straits Times紙によると、軍事関連情報が記載された文書が各国や防衛請負業者から盗まれ、DarkWeb上に流出したという。データは軍関係者のハッキングされたメールアカウントから盗まれたという。流出データには、ナイジェリア海軍のほか、マレーシア海軍、米陸軍、米空軍の文書が含まれている。

 

オマーン

Arabian Industries LLC

「Maze」ランサムウェアのオペレーターは、同社を標的にすることに成功し、1.8GBのデータを流出させたと主張してる。流出情報には、過去3年間にわたる完了済み業務および進行中の業務の記録、発注書、従業員の契約書などが含まれている。また今回の漏洩でThe Oman Construction Company LLCの銀行関連文書も流出した。ハッカーは、盗まれたデータの5%を公開したと主張している。

 

ベトナム

Hoa Sen Group

「Maze」ランサムウェアのオペレーターが、鋼板会社から盗んだと主張する約1.64GBのデータを投稿した。同グループは、これが盗まれたデータ全体の約5%に相当すると主張している。流出データは、従業員の写真や履歴書、学歴証明書類、身分証明書などの従業員関連データで構成されている。

 

オーストラリア

ニューサウスウェールズ州警察

シドニーのブラック・ライブズ・マター抗議をめぐりサミュエル・レイトン・ドア氏が苦情を提出した後、同州警察は同じ問題について連絡を取った、150人以上の苦情提出者のメールアドレスを含むEメールを誤送信した。(150人)

 

インド

Cense AI

セキュリティ研究者の Jeremiah Fowler 氏は、Cense の顧客データを保管していると見られる安全ではないデータベースを発見し、複数の診療所、保険会社、口座をリストアップした。その後、このデータベースは保護された。このデータベースには、名前、保険の記録、診断書など、機密性の高い医療データや個人を特定できる情報が 250 万件含まれていた。

 

不明

Cyble Incの研究者は、脅威アクターが305,834件の銀行記録を流出させているのを発見したが、これはアグリゲータから流出したものと思われる。データはAxis BankとICICI Bankのユーザー記録で構成されているが、研究者はこれらの企業が侵害された証拠はないと結論に至った。流出したデータには、顧客名、生年月日、携帯電話番号、データ媒体の交換コード、居住地、クレジットカード番号、口座番号などが含まれていた。

 

ナイジェリア

National Identity Management Commission

Mobile Identification Application (MWS) のユーザーがこのアプリの問題をいくつか報告している。本人確認情報のセクションが欠落していたり、自分のIDではなく他人のID情報にアクセスできたりし、不特定多数の個人のデータが流出しているという。

 

韓国

SK Hynix

「Maze」ランサムウェアのオペレーターは、SK Hynixに対する攻撃を主張し、600メガバイトの非公開企業データを公開した。脅威アクターによると、このリリースは、流出したデータの5%に相当するという。漏洩した文書の中には、シンガポールにいるSK Hynixの常務取締役に送られた通信が含まれていた。同社は、漏洩の可能性についてコメントしていない。

 

バンキングに関連して言及されたマルウェア

このチャートはバンキングに関連して、先週トレンドとなった攻撃タイプを示しています。

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

ESETの研究者は、主にブラジル、チリ、メキシコ、スペイン、ペルー、ポルトガルを2015年から標的にしているバンキング型トロイの木馬「Mekotio」を分析した。研究者は、Delphiで書かれたこのマルウェアの複数の亜種が並行して開発されているようだと指摘している。このマルウェアは「典型的なラテンアメリカの銀行トロイの木馬」と説明されており、ラテンアメリカの銀行やその他の金融機関を模した偽のポップアップウィンドウを表示した。このマルウェアはスパム経由で拡散されており、2018年以降、38種類の配布チェーンがマルウェアファミリーによって使用されている。

 

重要インフラ

米国サイバーセキュリティ・インフラセキュリティ庁と連邦捜査局は、新たに確認された「BLINDINGCAN」と呼ばれるリモートアクセス型トロイの木馬の詳細を記したマルウェア分析レポートを発表した。このマルウェアは、北朝鮮関連のAPT Hidden Cobraにリンクされている。このマルウェアの亜種は、主要な軍事・エネルギー技術の情報収集を目的とした政府請負業者を標的としたキャンペーンで使用されていることが確認されている。キャンペーンでは、大手防衛請負業者の偽の求人情報をおびき寄せるなどのソーシャルエンジニアリング技術が使用されていた。

 

政府

国家安全保障局(NSA)と連邦捜査局(FBI)が発表した共同サイバーセキュリティ勧告によると、「Drovorub」として追跡されていた未公開のLinuxマルウェアの詳細が明らかになった。FBIとNSAは、このマルウェアが「国家安全保障システム、国防総省、防衛産業基盤企業の顧客に対する脅威」をもたらすと警告している。Linuxマルウェアのツールセットは、カーネルモジュールのルートキット、ファイル転送およびポート転送ツール、C2サーバーと対になったインプラントで構成されている。このマルウェアは、攻撃者のC2との通信、ファイルのダウンロードとアップロード、任意のコードの実行などに使用できる。FBIとNSAは、このマルウェアを、APT28として広く知られているロシアのGRU第85主要特殊サービスセンター軍事ユニット26165に帰属させた。

 

テクノロジー

トレンドマイクロの研究者たちは、Xcodeプロジェクトやマルウェアから作成された悪意を持って修正されたアプリケーションを介して拡散する、「XCSSET」と呼ばれる新しいMac用マルウェアを発見した。研究者は、このマルウェアの拡散方法がサプライチェーン的な攻撃のリスクをもたらすと警告しており、影響を受けた開発者はすでにGitHub上で感染したプロジェクトを共有していることが確認されているという。最初の感染経路は今のところ不明である。Xcodeのプロジェクトは、プロジェクトが構築される際に悪意のあるコードを実行するように修正され、最終的なペイロードが投下されて実行される。XCSSETは、資格情報やアカウント、その他のデータを盗むことができる。研究者はこの新たなマルウェアを分析する中で、同マルウェアが2つのゼロデイ・エクスプロイトを利用していることを発見した。1つはデータ保管庫の動作の脆弱性を利用してクッキーを盗むもので、もう1つはSafariの開発版を悪用してユニバーサルなクロスサイトスクリプティング攻撃を実行するものである。

 

小売、ホスピタリティ

アカマイの研究者は、銀行、金融、小売など複数のセクターを標的とした一連の分散型サービス拒否(DDoS)恐喝メールを調査した。攻撃者は Fancy Bear と Armada Collective という既知のグループであると主張しているが、研究者はこれらの事件は模倣犯の活動であると考えている。脅威アクターは、被害者に、指定された期限までに設定されたビットコインの金額を送金するよう求め、これを怠った場合の罰則を課した。また、被害者のサービスへのすべてのアクセスを無効にすると脅し、最大2Tbpsの攻撃で物的損害と風評被害をもたらした。これまでのところ、攻撃は50Gbpsを超えていない。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-14-20-august-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。