2023Q1 サイバー攻撃関連 

ここでは実際に2023Q1に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

2022Q4サイバー攻撃関連ピックはこちら

2023/02/06

フロリダの病院がサイバー攻撃を受けシステム停止。ランサムウェア攻撃か。

  • bleepingcomputerより
  • 2023/02/02遅く、フロリダのTallahassee Memorial ヘルスケア (TMH) がサイバー攻撃を受け、ITシステムがオフラインになりました。
  • TMH は金曜日に発表した声明で、「当社の IT 部門が攻撃を早期に検出し、IT システムをシャットダウンして影響を制限しました」と述べています。
  • Florida Politics紙によると、ランサムウェアによる攻撃の可能性がある様です
  • 2021年から引き続き、今年もランサムウェアによる病院系列への攻撃が盛んになっています。病院関係のシステムでは、ランサムウェア攻撃にあった際の手順(プロトコル)等を予め考えておいたほうが良さそうです。

2023/02/02

英国JDスポーツがデータ侵害

  • bleepingcomputerより
  • 英国のチェーン店JD スポーツは、1,000 万人の顧客の注文情報を含むサーバーがハッキングされたとして、顧客に警告しています。
  • 同社は、この攻撃により、2018 年 11 月から 2020 年 10 月の間に注文された顧客の情報が漏洩したと警告しています。
  • JDスポーツは、不正アクセスを即座に検出し、侵害されたサーバーを保護するために迅速に対応し、その後のアクセス試行を防いだと述べています。

2023/01/28

ODIN Intelligenceが攻撃を受け、法執行機関のデータが流出する

  • secureworldより
  • WIREDの記事
  • TechCrunchの記事
  • 顔認識で追跡を行っている法執行機関の ODIN Intelligenceが攻撃を受け、大量の機密データが公開されました。
  • 「All Cyber​​-Cops Are Bastards」と名乗るグループによって実行された攻撃により、顔写真、家や車の写真など、さまざまな機密情報を含む 15 GB を超えるデータが流出しました。
  • このデータには、ODIN のアプリである SweepWizard(法執行機関が捜索令状や強制捜査に使用するアプリ) によって生成された音声ファイルとレポートも含まれています。また、データには、2 つの FBI メール アドレスを含むログイン情報も含まれています。

Google広告のフィッシング攻撃がBitwarden等のパスワードマネージャを襲う

  • bleepingcomputerより
  • Bitwarden やその他のパスワード マネージャーがGoogle広告のフィッシング攻撃の標的となっています。
  • 2023/01/24から、「bitwarden パスワード マネージャー」の検索結果に「Bitward – パスワード マネージャー」というタイトルの Google 広告が出る様になりました。
  • 実際には、この広告はよく出来た偽物であり、パスワードが盗まれる可能性がありました。
  • 昨今、同じ様な攻撃が増えています。パスワードマネージャを利用する場合には、念の為(あればですが)MFAを有効にしておきましょう。

Googleが中国のフェイクニュースを流していた50,000のアカウントを削除

  • bleepingcomputerより
  • GoogleのTAGのブログはこちら
  • Google の脅威分析グループは、複数のオンライン プラットフォームで中国寄りの偽情報を広めている「Dragonbridge」または「Spamouflage Dragon」として知られるグループにリンクされている数万のアカウントを停止しました。
  • 昨年、同社は YouTube、Blogger、AdSense などのプラットフォーム全体で Dragonbridge が使用していた 50,000 以上のアカウントを削除しました。
  • YouTube チャンネルの大部分は、昨年削除された時点で登録者が 1 人もおらず、動画の 80% 以上は 100 回未満の視聴回数でした。
  • 「DRAGONBRIDGE の活動のほとんどは、政治的メッセージのない低品質のコンテンツであり、多くのチャネルやブログに掲載されています。しかし、DRAGONBRIDGE アカウントのごく一部は、親中的なメッセージを投稿しています」との事です。

2023/01/25

GoTo(旧LogMeIn)が2022年11月のインシデント時に顧客のバックアップと暗号化鍵が漏洩していたと警告

  • bleepingcomputerより
  • GoToのブログ
  • GoToの調査によると、昨年11月に発生したインシデント時に下記の製品のバックアップが盗まれていたことがわかりました。
    • Central、Pro、join.me、Hamachi、 RemotelyAnywhere
  • また、暗号化鍵の一部も盗まれていた可能性があるとのことです。
  • GoToではアカウントパスワードのリセット、及びMFAの再設定を推奨しています。
  • 筆者もLogMeIn時代にはかなりお世話になった製品です。未だ日本でも使い続けている方も多いと思いますので、気をつけましょう。

ロシア最大のISPが2022のロシアに対するDDoS攻撃について総括。

  • bleepingcomputerより
  • Rostelecomのブログはこちら
  • ロシア最大のISPであるRostelecomの調査によると、2022年はロシア国内の企業に対するDDoS攻撃が過去最大となった模様です。ウクライナ・ロシア紛争に絡んでの攻撃がやはり多かった模様です。
    • DDoS 攻撃は最大760 Gb/s(前年のほぼ2倍)
    • 最長のDDoS攻撃は2,000時間(およそ三ヶ月間)続いたとの事
    • 攻撃は主に「絨毯爆撃DDoS」と呼ばれるものだったとの事

2023/01/22

T-MobileがAPIデータ侵害。3,700万のアカウント情報が流出

  • bleepingcomputerより
  • T-Mobileの発表はこちら
  • T-MobileがAPIを通じて攻撃者により侵害され、3,700万のアカウント情報が流出したとのことです。
  • 2023/01/05に悪意のあるアクティビティを検出して調査を開始。調査により、2022/11/25頃からデータ侵害が行われていたらしいとのことです。
  • 同社によると、このAPIを通じて得られるデータは基本的なものが多く、名前、請求先住所、電子メール、電話番号、生年月日、口座番号、回線数などの情報との事です。

英国で「ケンタッキー・フライドチキン」「ピザハット」「タコベル」などのなじみのある飲食チェーンを傘下に持つ「Brands」がランサムウェア攻撃に遭う

  • bleepingcomputerより
  • Brandsの声明はこちら。
  • 英国で「ケンタッキー・フライドチキン」「ピザハット」「タコベル」などのなじみのある飲食チェーンを傘下に持つ「Brands」がランサムウェア攻撃に合ったそうです。
  • Brandsの声明によると、インシデントを検出するとすぐに、特定のシステムをオフラインにするなどのプロトコルに従って処置したとのことです。
  • 侵害の細かい情報は現在の所公表されていません。

PayPalが大規模な Credential Stuffing 攻撃によりデータ侵害

  • bleepingcomputerより
  • Credential Stuffing攻撃とは、色々なWeb サイトでのデータ漏洩から入手したユーザー名とパスワードのペアを試して、アカウントへのアクセスを試みる攻撃です。
  • 2022/12/06〜2022/12/08に、このCredential Stuffing攻撃がPayPalに対して仕掛けられ、35,000人近くのユーザが影響を受けたとの事です。
  • PayPalは12/20までに調査を終え、影響を受けたアカウントをリセットし、すでに通知済みとの事です。
  • やはりSaaSを含めて、最近のサービスでは最低でもMFAは有効にしておいたほうが良いですね。

MailChimpが従業員にソーシャルハッキングを仕掛けられ、新たにデータ侵害

  • bleepingcomputerより
  • MailChimp によると、Mailchimp の従業員と請負業者に対してソーシャル エンジニアリング攻撃が行われ、1/11に従業員の資格情報へのアクセスが発見されたとのことです。
  • MailChimpの調査によると、攻撃者は顧客サポートアカウントを介してサポートツールにアクセスし、133人の顧客データがアクセスできた可能性があるとのこと。
  • 被害を受けた可能性がある顧客には、1/12に連絡を終わっているとの事です。

NISSAN North Americaでサードパーティがデータ侵害。17,998 人の顧客が侵害の影響を受ける。

  • bleepingcomputerより
  • データ侵害の報告はこちら
  • 日産は2023 年 1 月 16 日に、メイン州司法長官室にデータ侵害を報告しました。これによると、17,998 人の顧客が侵害の影響を受けたとのことです。
  • データ侵害の通知は、すでに対象者に行っているとの事です。
  • この通知によると、2022年6月21日に、日産が使用しているソフトウェア開発ベンダーからデータ侵害の情報を受け取ったとのこと。サードパーティが日産から顧客データを受取り、開発とテストに使用した所、データベースの構成が不十分だったため、データが誤って公開されたとの事です。
  • セキュリティインシデントを知った日産は内部で調査を行っており、2022年9月26日の調査の結果によって、権限のないアカウントがデータベースにアクセスした可能性が高いことを確認したとのことです。具体的には、ソフトウェアのテスト中にコード内に埋め込まれたデータが、クラウドのパブリックリポジトリに一時的に保存されてた様です。
  • 公開リポジトリで一時的に利用可能であった間にアクセスまたは取得された可能性のある情報には、名前、生年月日、および NMAC(Nissan Motor Acceptance Company)アカウントの番号が含まれていたとのこと。クレジットカード情報等は含まれていなかった様です。

Vice SocietyランサムウェアグループがDuisburg-Essen大学へのサイバー攻撃を主張

  • bleepingcomputerより
  • UDEの声明
  • Vice Societyに関するFBI/CISA/ISACの共同声明
  • 2022年11月に発生したDuisburg-Essen大学(UDE)へのサイバー攻撃に関して、Vice Societyランサムウェアグループが犯行を主張しているとのことです。
  • UDEの声明によると、11月末に発生したインシデントの際には、攻撃が発見された直後に IT インフラストラクチャ全体をシャットダウンし、ネットワークから切断したとの事です。それにもかかわらず、攻撃者がデータの身代金を要求したという事から、高度に専門的な組織による攻撃だったろうと考えられていました。
  • UDEは身代金を支払っておらず、今後も支払うつもりはないとのことです。連邦刑事警察局 (BKA) と連邦情報セキュリティ局 (BSI) も、これを推奨しています。
  • Vice SocietyランサムウェアグループはFBI/CISA/ISACの共同声明でも出されていますが、過去数年間に教育機関を標的にした活動を行っています。今後も教育機関は注意が必要です。

2023/01/16

カナダのアルコール小売業者のサイト(LCBO)が攻撃され、クレジットカード情報が流出

  • bleepingcomputerより
  • 1/12にLCBOは声明を発表し、1/10にサイトが攻撃され、クレジットカード情報が流出していたことを明らかにしました。
  • 流出したものは、顧客の名前、電子メール アドレス、住所、クレジットカード情報、 LCBO.com アカウントのパスワード等との事です。

Vice Societyランサムウェアグループがオーストラリアの消防サービスへの攻撃を主張

  • bleepingcomputerより
  • Vice Society ランサムウェアグループが、12月に発生したオーストラリアの消防サービス(Fire Rescue Victoria: FRV)への攻撃を主張しています。
  • 2023/01/06にFRVにより発表された内容によると、攻撃は12/25から発生したとの事。緊急対応サービスは影響を受けませんでした。
  • この攻撃により下記の情報が漏洩した可能性があるそうです。
    • FRVに在籍中/過去に在籍していた職員の個人情報
    • 採用応募者に関する個人情報

2023/01/12

Royal Mailがサイバー攻撃を受けてダウン

  • bleepingcomputerより
  • NCSCの声明
  • 英国の郵便配達サービスである「Royal Mail」がサイバー攻撃を受けたため、2023/01/12から国際配送サービスを停止しているとのことです。
  • (2023/01/16追記)。LockBitランサムウェアグループが本攻撃の犯行を行ったことが確定しました。

偽のAnyDeskサイトがVidarマルウェアをプッシュ

  • bleepingcomputerより
  • 公式のAnyDeskサイトになりすました1,300以上のドメインを使用する偽サイトがVidarマルウェアを拡散させているとのことです。
  • ソフトウェアをダウンロードする際には必ず公式のサイトを使用するとともに、URLの入力間違いなどによるTyposquatting攻撃に気をつけましょう。

アイオワ州のデモイン公立学校がランサムウェア攻撃を受けてダウン。学年度終了日を延長する見込み

  • デモインのニュース
  • アイオワ州デモインにあるデモイン公立学校が、1/10にランサムウェア攻撃にあったためシステムをダウンさせているとのことです。このため、1/10, 1/11はシステムが使えなくなっており授業をキャンセルさせたとのこと。
  • これにより、本来であれば5/31に学年度が終了するところだったのを、6/2まで延長するとのことです。

2023/01/08

悪意の有るPyPIパッケージ(PowerRAT)がCloudflare Tunnelを利用してファイアウォールをバイパス

AirFranceとKLMが顧客情報流出

2023/01/05

CircleCIでインシデント発生した模様。すぐにシークレットのローテーションとログの確認を推奨。

  • CircleCI セキュリティアラートより
  • CircleCIでセキュリティインシデントがあった模様です。
  • CircleCIをプロジェクトで使用している方々は、まず上述のブログにある通り全てのシークレットのローテーションを行いましょう。
  • また、2022/12/21から2023/01/04までに不正アクセスがなかったかシステムのログを確認することが推奨されています。

2023/01/04

米国の鉄道会社ワブテックがLockBitランサムウェアグループによる攻撃を受ける

  • bleepingcomputerより
  • 2022/06/26に米国の鉄道会社ワブテックが、工場の一つで異常なアクティビティを発見したとの報道を出していました。この結果、2022/03/15からLockBitランサムウェアグループによる攻撃を受けており、情報が流出してたことが発覚しました。
  • 最終的には2022/08/20に全ての漏洩した情報が公開されています。
  • こちらはLockBitの公開情報(redpacketsecurity.comより)
  • ワブテックは2022/12/30に、影響を受けたすべての個人にデータ侵害の通知を送信しているそうです。

Royalランサムウェアグループがクイーンズランド工科大学への攻撃の犯行声明を出す

  • クイーンズランド工科大学の攻撃に関するブログはこちら
  • クイーンズランド工科大学(QUT)のブログによると、2022/12/22にサイバーセキュリティ上のインシデントがあったそうです。
  • これによると、攻撃の予防措置として幾つ可能システムを停止したため、HiQ Web サイトや Blackboard など、多くの QUT システムが使用不可能になったようです。
  • bleepingcomputerによると、RoyalランサムウェアグループがQUTへの攻撃に対する犯行声明を出しているようです。この記事によると、漏洩したのは人事ファイル・電子メール・ID カード・財務書類や行政書類等の様です。

2023/01/02

ALPHV(BlackCat)ランサムウェアグループが被害サイトのレプリカを作成して盗んだデータを公開

  • bleepingcomputerより
  • ALPHV(BlackCat)ランサムウェアグループが、新しい恐喝手口として「被害サイトのレプリカを作成して盗み出したデータをそこで公開する」というものを試している様です。

LockBitランサムウェアグループがSickKidsへの攻撃を謝罪。無償で復号化ツールを提供。印象を良くするPR目的か。

  • bleepingcomputerより
  • SickKidsのインシデント報告
  • 2022/12/18にSickKids(カナダのオンタリオ州トロントのユニバーシティアベニューにある小児科病院)がLockBitによるランサムウェア攻撃を受けました。攻撃は幾つかの臨床システム・内部システム・電話・Webサイトに影響を与えただけで医療系に関しては問題はなかったとの事です。
  • これに対しLockBitランサムウェアグループは「攻撃がLockBitグループのポリシーに違反していた」という理由で、SickKidsに謝罪し無償で復号化ツールを提供したとのことです。
  • LockBitランサムウェアグループのポリシーとして「死に至る可能性のある「医療機関」を暗号化標的にすること」は禁止されているとのこと。
  • しかし、LockBitランサムウェアグループは度々医療機関を攻撃しているため、上述のポリシーが完全に機能しているわけでもありません。また、このSickKidsの話がLockBitランサムウェアグループに対する良いイメージを与えるわけでもありませんので、その点は強調しておきます。
  • 実際、今回の行為は「LockBitランサムウェアグループが自己の印象を良くするためにPRとしてやったことだ」と指摘している声もあります。

2023/01/01

LockBitランサムウェアグループがポルトガルのリスボン港管理局 (APL)への犯行声明を出す

  • bleepingcompuerより
  • LockBitランサムウェアグループが、ポルトガルのリスボン港管理局 (APL)に対するサイバー攻撃の犯行を主張しているそうです。
  • サイバー攻撃は港の運営に影響を与えてはいないとのこと。
  • 当地の新聞によると、APL及び行政はこの様な際のプロトコルと対応措置を迅速に行ったとのことです。
  • この様にランサムウェアグループに攻撃を受けた際のプロトコルを日頃から整備しておくと迅速な対応が取れます。2023年は日本の企業もこの様なプロトコル作りに入ったほうが良いと思われます。

カナダのCopper Mountain がランサムウェア攻撃を受けて工場を閉鎖

  • bleepingcomputerの記事
  • Copper Mountainの記事はこちら
  • 2022 年 12 月 27 日 遅くにランサムウェア攻撃を検知。攻撃に対応してプロトコルとリスク管理プロセスに従い、システムを隔離・予防的シャットダウンを行ったとのことです。
  • Copper Mountain は攻撃の原因を調査しており、関係当局と連絡を取り合っているとのこと。現時点では操業に問題は無い状態とのことです。
  • やはりランサムウェアグループによる攻撃のプロトコル作成は大事になっています。2023年はこの動きを日本企業でも取り入れると思われます。

コメント

タイトルとURLをコピーしました