2020.09.18

ウィークリー・サイバーダイジェスト – 2020年9月11日〜9月17日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

 

米国

Fairfax County Public Schools

「Maze」ランサムウェアのオペレーターは、学校への攻撃中に盗まれたとされるデータのサンプルを含むZIPファイルを公開した。同オペレーターは、ZIPには流出したデータの2%しか含まれていないと述べている。

 

DXP Enterprises

「REvil」ランサムウェアのオペレーターは、同社から盗んだとされる情報の複数のスクリーンショットをデータ流出サイトに掲載した。スクリーンショットには、サービスレポート、購入レポート、多数の従業員のPSTファイル、顧客情報とその他の機密情報が含まれている。

 

Razer Inc

セキュリティ研究者のボブ・ディアチェンコ氏が、同社に属するElasticsearchクラスタの設定ミスを発見した。8月18日に初めて公開され、データベースには顧客データが含まれていた。暴露されたデータには、フルネーム、Eメール、電話番号、顧客の社内ID、注文番号、注文の詳細、請求先や配送先の住所などが含まれていた。

 

ユナイテッド航空

セキュリティ研究家のオリバー・リンドウ氏は、ユナイテッド航空のWebサイトで、払い戻しを要求した顧客の詳細を閲覧できるようになるバグを発見した。このWebサイトでは、航空券番号と名字を入力することで払い戻し状況を確認できるようになっていたが、名字が認証されていなかった。そのため、航空券番号を変更することで、旅行者の苗字、払い戻し金額、航空券の購入に使用した支払い方法や通貨が明らかになった。

 

Equinix

同社は「Netwalker」ランサムウェア攻撃の標的にされ、そのオペレーターは、盗まれたとされるデータのスクリーンショットへのリンクを添付した身代金要求書を送りつけた。スクリーンショットには、同社のオーストラリアオフィスから盗まれたと思われるフォルダが表示されており、財務、給与計算、会計情報、監査、データセンターの報告書が漏洩した可能性があることを示唆している。

 

Artech Information Systems

2020年1月11日、ランサムウェア「REvil」のオペレーターは、Artech社のものと主張するデータを流出させた。同社は、1月に最初に報告された「REvil」ランサムウェア攻撃を確認し、2020年1月5日から1月8日までの間に不正な個人がシステムにアクセスしていたと述べた。名前、社会保障番号、医療情報、健康保険情報などが感染したシステムに保存されていた。また、2020年9月には、「Maze」ランサムウェアのオペレーターは、同社への攻撃に成功し、同社から盗まれたとされるデータのZIPファイルをアップロードしたと主張している。

 

Fourth Judicial District Court of Louisiana

「Conti」ランサムウェアのオペレーターは、ルイジアナ州第4司法地方裁判所への侵入に成功したと主張している。流出したとされる文書が、犯行の証拠としてDarkWeb上で公開された。同文書には、判決、陪審員の辞退、裁判官の会議などに関する内容が含まれている。

 

CU Collections

2020年9月11日、CU Collectionsは2020年2月にサイバー攻撃を受けたと発表した。このインシデントにより、提携信用組合がCUzcollectionsと共有していた個人情報への不正アクセスが可能となった。影響を受けた個人情報には、信用組合の口座開設や融資に失敗した個人の氏名、住所、社会保障番号、金融口座番号、運転免許証番号などが含まれる可能性があるという。

 

Department of Veterans Affairs

約46,000人の退役軍人の個人情報が漏洩した可能性がある。不正なユーザーがVA Financial Services Centerのオンラインアプリケーションの1つにアクセスし、ソーシャルエンジニアリング技術を使用した。認証プロトコルを悪用することで、財務情報を変更し、支払いを横領することに成功したことが判明した。

 

Staples

オフィス用品販売業を営むこの会社は、顧客に通知を送り、不正な第三者が「限られた数」の顧客の注文データにアクセスしたことを知らせた。この問題は、2つのエンドポイントの設定ミスが原因で発生し、その後解決している。流出データには、氏名、住所、Eメール、電話番号、ペイメントカードの下4桁、注文した商品の代金、配送、商品に関する情報などが含まれていた。アカウントの認証情報やペイメントカードの詳細は公開されなかった。

 

Public Health Wales

ウェールズ公衆衛生庁は、コロナ検査結果が陽性となった住民のデータを誤って流出させた。データは2020年8月30日に同サービスの検索可能な公開サーバーに投稿された。流出した記録の大部分には、各個人のイニシャル、生年月日、居住地域、性別が含まれていた。また、ケアホームやサポート付き住宅の住民1,928人の記録には住所も含まれていた。

 

University Hospital New Jersey

「SunCrypt」ランサムウェアのオペレーターは、2020年9月の攻撃で盗まれたと主張する、4万8000件以上の文書を含む1.7GBのアーカイブを公開した。公開されたデータには、患者情報、運転免許証、社会保障番号、生年月日、取締役会の詳細などが含まれている。攻撃者は240GB以上のデータを盗んだと主張している。

 

中国

Zhenhua Data

オープンソースで収集された約240万人分の個人情報のデータベースが、米国の学者クリストファー・バルディング氏にリークされた。バルディング氏によると、このデータは影響力のある個人や機関に焦点を当てており、バルディング氏は監視目的や干渉方法を理解するために利用できると考えているという。サイバーセキュリティのコンサルタント会社Internet 2.0は、約25万人分の記録を回収した。ガーディアン紙に語ったZenhua Dataは、「この報告書は真実ではない」と否定した。

 

オランダ

Mailfire

2020年8月31日、ホワイトハットハッカーがvpnMentorに、アダルト系の出会い系サイトが大半を占める、70以上のサイトのユーザー詳細を晒すElasticsearchサーバーを特定したと通知した。同サーバーには882.1GBのデータと、過去4日間の3億7000万件の記録が含まれていた。調査期間中に、数百万件の記録がさらにサーバーにアップロードされたようだ。暴露された情報には、個人を特定できる情報やプライベートメッセージ、Eメールの内容、認証トークンなどが含まれていた。

 

日本

安川電機

「LockBit」ランサムウェアオペレーターは、同社から盗まれたとされるデータベースをブログサイトに掲載した。データには、購入記録や銀行口座、製品情報、その他社内文書などの機密情報が含まれている。

 

香港

Overseas Express Shipping Company

「LockBit」ランサムウェアオペレーターは、同社のデータを盗み出し、580万件の記録を含むデータベースをブログサイトに掲載したと主張している。流出データには、氏名や住所、その他社内文書が含まれている。

 

カナダ

Quebec Ministry of Justice

ESETの研究者でジャーナリストのHugo Joncas氏は、2020年8月11日と12日にケベック州の司法当局が「Emotet」マルウェアの標的にされたと報告している。攻撃者は、同省の14のメールボックスにアクセスし、悪意のある添付ファイルを含むメールをメールボックスに送信した個人と接触した。また、攻撃者は約300人の現役職員や元職員の個人情報を盗み出した。

 

 

バンキングに関連して言及されたマルウェア

このチャートはバンキングに関連して、先週トレンドとなったマルウェアを示しています。

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

2020年7月、モバイルバンキング型トロイの木馬「Cerberus」のソースコードがオークションに出品され、その開発チームが解散したことを示す広告が掲載された。セキュリティ研究者のドミトリー・ガロフ氏によると、開発者はその後、「Cerberus v2」という名前で、ロシア語人気アンダーグラウンド・フォーラムでプレミアムユーザー向けにソースコードを公開したという。ガロフ氏は、公開後に感染が「すぐに増加」したと指摘している。感染はヨーロッパとロシアで発生しており、コードが公開されてから攻撃の状況が変化したという。

政府

マイクロソフトはここ数週間、トランプ氏とバイデン氏の両陣営関係者など、米国大統領選挙に関係する個人や組織に対する、多数の攻撃を観測している。これらの攻撃は、外国のアクターによって行われたものであり、これまでの攻撃パターンと一致していることが確認された。ロシアと関連するグループ「Strontium」は、ログイン認証情報の収集やアカウントの危殆化を目的とした攻撃を多数開始していることが確認されており、2019年9月以降、200以上の組織が標的にされている。2020年3月以降、中国系の「Zirconium」による攻撃では、150件近くの危殆化が発生している。同グループの標的は、米大統領選の選挙運動や候補者、大学や国際関係の組織に関連する個人であると判明している。イランと関連する「Phosphorus」による最近の活動では、現職の政権関係者や選挙運動のスタッフなど、米国選挙と関係する個人のアカウントや業務アカウントが標的となっていた。

 

教育

英国の国家サイバーセキュリティセンター(NCSC)は、教育機関に対し、教育業界への攻撃が増加していると警告発した。NCSCによると、2020年8月以降、学校やカレッジ、大学に影響を及ぼすランサムウェア攻撃が増加しているという。

 

テクノロジー

Tencent Securityの研究者が、ここ数ヶ月で「Microsoft SQL Server(MSSQL)」を標的にした新しいマルウェア「MrbMiner」と呼ばれるマルウェアを発見した。すでに何千ものMSSQLデータベースが感染している。このマルウェアは、ブルートフォース攻撃によって拡散し、その後、将来的なアクセスのためのバックドア・アカウントが追加される。そして、C2サーバーに接続し、「Monero」を採掘するアプリをダウンロードする。観察されたのは「MSSQL」の感染のみだったが、研究者たちは、LinuxサーバーやARMベースのシステムをターゲットに書かれた「MrbMiner」のバージョンも発見した。Linux版とリンクした「Monero」ウォレットが発見され、3.38XMR(約300ドル)が入っていたことから、Linux版も積極的に配布されていると考えられる。

 

小売、ホスピタリティ、ツーリズム

Sansecの研究者は、2020年9月10日から9月12日の間に独自のキーロガーに感染した「Magento」の1,904店舗を検出し、数万人の顧客のプライベートデータが影響を受ける可能性があると明らかにした。感染したサイトはすべて、2020年6月に使用期限を迎えていた「Magento」のバージョン1を実行していた。自動化された「Magento」のキャンペーンは、新しい攻撃方法を使用したようで、研究者は最近販売された「Magento 1」のリモートコード実行ゼロデイに関連している可能性があると推測している。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-11-17-september-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。