2023Q1 サイバー攻撃関連 

ここでは実際に2023Q1に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

2022Q4サイバー攻撃関連ピックはこちら

2023/03/27

電子カルテでIDとパスワードを使いまわしていた事が発覚

  • 朝日デジタルから
  • NECが構築した280の大規模病院280のうち半数で、運用時に病院ごとで同じIDとパスワードを使いまわしていた事が発覚したようです。
  • 昨年のランサムウェア攻撃で被害に遭った「大阪急性期・総合医療センター(大阪市住吉区)」のケースの調査で判明したとのこと。
  • 残念ながら「初期IDとパスワードを決め打った方がシステムを入れる側としてはスクリプト等で組めるので」やってしまいがちですが、当然導入後にIDとパスワードを変更しなくてはなりません。それも(当然ながら)、個々のシステムで別のものにする必要があります。
  • 運用時にはありがちな状態なんだろうなという事は容易にわかりますが、やはり本件ではNECやシステム導入のSIer、受け入れた病院側の三者(定期監査があったとすれば監査も)が責められる形になるでしょう。
  • システムを導入/運用していく側としては、他山の石として本件を教訓にしていきたいと思います。

2023/03/23

Doleがランサムウェアの被害に。

  • bleepingcomputerより
  • Doleの年次報告書はこちら
  • Doleの声明文はこちら
  • あのバナナで有名なDoleがランサムウェアの被害に遭った模様です。
  • 報告書によると、2023/02/22にDoleが従業員情報への不正アクセスを含む高度なランサムウェア攻撃を受けたとのことです。
  • Doleはすぐに攻撃を封じ込め、第三者のセキュリティ専門家と協力して対処にあたっているとのことで、被害は限定的とのことです。

悪意のある ChatGPT Chrome 拡張機能によって Facebook アカウントがハイジャックされる

bleepingcomputerより

  • 「 ChatGPT for Google」にマルウェアが仕込まれたバージョン(“Quickaccess to Chat GPT”等)があり、FacebookのセッションCookieを盗み出すようです。
  • セキュリティ研究者は悪意のある拡張機能を Chrome ウェブストア チームに報告しており、これは間もなく削除される可能性があります。それまではChatGPT for Googleをインストールする場合には正規のサイトを経由して行ったほうが良いでしょう。

北朝鮮が背後にいる脅威アクター(Kimsuky)が悪意のChrome extensionを用いてgmailからメールを盗み出す

  • bleepingcomputerより
  • ドイツの共同セキュリティアドバイザリー
  • ドイツの Bundesamt für Verfassungsschutz (BfV) と大韓民国国家情報院 (NIS) は、Google のブラウザーとアプリに対する KIMSUKY (別名 Thallium、Velvet Chollima など) のサイバー キャンペーンに対する勧告を発表しています。
  • 日本も標的になる可能性は多分にありますので、一度目を通しておいたほうが良さそうです。

LockBitランサムウェアグループが2月のオークランド市のデータ侵害を主張

  • bleepingcomputerより
  • オークランド市の声明はこちら
  • LockBitランサムウェアギャングがオークランド市のデータ侵害を主張しています。
  • オークランド市の声明によると、2 月に発生したランサムウェア事件によって個人情報が影響を受けた従業員に通知書を送付しているそうです。
  • オークランドでは、主要なサービスに影響を与えるネットワーク停止が発生しています。 現在、オークランド市のいくつかのシステムが影響を受けているかオフラインになっていおり、サービスの復旧に向けて取り組んでいるそうです。

ClopランサムウェアグループがSaks Fifth Avenueへの攻撃を主張

  • bleepingcomputerより
  • ClopランサムウェアグループがGoAnywhere MFTの脆弱性(CVE-2023-0669)を悪用し、Saks Fifth Avenueへの攻撃を行ったと主張しています。
  • 一方、Saks Fifth Avenueによると盗まれたデータはフェイクのデータであり、実際の顧客のデータが盗まれたわけではないと述べています。

フェラーリがデータ侵害を公表。ランサムウェアか否かは未公表

  • bleepingcomputerより
  • フェラーリによる公表はこちら
  • フェラーリがデータ侵害と身代金要求を受けていることを公表しました。現時点では、ランサムウェアによる攻撃か否かは未公表です。
  • 2023/03/20にフェラーリのイタリア子会社であるフェラーリ SpA が身代金要求を受けたことを発表しました。身代金の要求を受けて、フェラーリはすぐにサードパーティのサイバーセキュリティ会社と協力して調査を開始しているそうです。

2023/03/18

Hitachi Energeyがデータ侵害を公表

  • Hitachi-Energyのプレスはこちら
  • bleepingcomputerの記事はこちら 
  • Hitachi-Energyの使用しているFORTRA GoAnywhere MFT (Managed File Transfer) と呼ばれるサードパーティのソフトウェア プロバイダーが、CLOP ランサムウェア グループによる攻撃の被害者であり、従業員データへの不正アクセスが発覚したことを公表しています。
  • 影響を受けたすべての従業員、該当するデータ保護当局、および法執行機関は、日立から直接セキュリティインシデントについて通知を受けています。
  • Clop ランサムウェアは昨日、日立を恐喝ポータルに掲載しました。

2023/03/12

AT&Tが1月にデータ侵害。900万人の顧客に情報が公開される

  • bleepingcomputerより
  • AT&Tが今年1月にデータ侵害を受け、900万の顧客に一部の情報が公開されたそうです。
  • 詳細はbleepingcomputerの記事を確認してください。

2023/03/09

スペインの病院「Hospital Clínic de Barcelona」がRansomHouseランサムウェアの攻撃を受ける

  • bleepingcomputerより
  • スペインの病院「Hospital Clínic de Barcelona」がRansomHouseランサムウェアの攻撃を受けた様です。
  • 政府の発表によると、バルセロナ クリニックに関連する 3 つの医療センターの緊急サービスに影響があったそうです。
  • 現時点で病院は復旧作業を行っているそうです。

Acerがデータ侵害。160GBのデータがハッキングフォーラムで販売される

  • bleepingcomputerより
  • 脅威アクターが、2023年2月中旬にAcerから160 GB のデータを盗んだとし、ハッキング フォーラムで販売し始めた事からデータ侵害が発覚しました。
  • Acerによると、調査の結果このセキュリティインシデントが顧客データに影響を与えた兆候は無いと述べています。

2023/03/07

先週は作業やセミナーに忙殺されて更新できなかったため、一週間分を一気に更新します。

SCARLETEEL

  • Sysdigのブログより
  • Sysdig 脅威リサーチチームが、「SCARLETEEL」と名付けられたクラウドオペレーションを発見したそうです。
  • Kubernetes, AWS, EC2, Terraform等を用いて資格情報等の機密情報を搾取していた様です。
  • 詳しい解説はSysdigのサイト(日本語です)を確認してください。

LastPassが昨年12月公表の攻撃に関する詳細を公開

  • LastPassのブログより
  • 昨年12月公表の攻撃に関する記事はこちら
  • LastPassによると、上級 DevOps エンジニアから盗んだ有効な資格情報を利用して、共有クラウド ストレージ環境にアクセスしていた様です。
  • 攻撃者は、クラウド ストレージ サービスへのアクセスに必要な復号化キーにアクセスできる 4 人の DevOps エンジニアの うち1名を標的にしていました。
  • DevOps エンジニアの自宅のPCを標的にし、脆弱なサードパーティのメディア ソフトウェア パッケージを悪用していました。これによりリモートコード実行が可能になり、攻撃者は標的の自宅PCにキーロガーマルウェアを埋め込みました。 標的がMFAで認証する際に、攻撃者は標的のマスター パスワードを取得し、最終的にLastPassのVaultにアクセスしたとの事です。
  • リモートワークが進むに当たり、自宅のPCなどの管理も頭を悩ます自体になりそうです。

米国連邦保安局 (USMS)にランサムウェア攻撃

  • NBCのニュースより
  • 米国連邦保安局が、2月に機密情報の侵害に見舞われた事を明らかにしています。
  • 事件は2023/02/17に発生し「スタンドアロンの USMS システムに影響を与えるランサムウェアとデータ流出イベントを発見した」とのことです。
  • 「証人保護プログラム(Witness Security Files Information System: WITSEC)」として一般に知られている証人セキュリティ プログラムに関するデータベースは流出の対象に含まれていないとも述べられています。

2023/02/26

脅威アクターがカナダで二番目に大きい通信会社TELUSのデータ侵害を主張

  • bleepingcomputerより
  • 2 月 17 日、脅威アクターが TELUS の従業員リスト (名前と電子メールアドレス)をデータ侵害フォーラムで公開しました。
  • TELUSでは現時点まで顧客データが盗まれたという確認はされておらず、引き続き調査を続けているとのことです。

新たな攻撃グループClasiopa

  • Symantecブログより
  • Symantec が Clasiopa と名付けた新たな攻撃グループが、アジアの材料研究機関を狙った活動をしているとのことです。
  • 現時点では、クラシオパの拠点や背後関係に関しては、あまり情報がない状態です。
  • このグループは、カスタム マルウェア (Backdoor.Atharvan) を含む独特のツールセットが特徴とのことです。Atharvanでは、ヒンディー語のMutex「SAPTARISHI-ATHARVAN-101」が使用されています。
  • Atharvanとはヒンズー教の伝説的なヴェーダの賢者の名前です。また、攻撃者が ZIP アーカイブに使用したパスワードの 1 つが「iloveindea1998^_^」との事であるため、グループがインドに拠点を置いていることを示唆している可能性がありますが、これら自体が意図的に作られている可能性もあるため確定には至っていないとの事です。
  • IoC等の情報がSymantecブログに載っていますので参考にしてください。

2023/02/24

米軍の機密性の高い電子メールが流出

  • TechCrunchより
  • Microsoft の Azure Governmentクラウド(他の商用の顧客から物理的に分離されたサーバーを使用しているため、機密ではあるが機密扱いではない政府データを共有するために使用できる)に国防総省の顧客向けのサーバが置かれていました。このサーバは、約 3 テラバイトの軍事用途の電子メールを保存するメールボックスシステムの一部であり、その多くは米国特殊作戦司令部 (USSOCOM) (特殊軍事作戦の実施を任務とする米軍部隊) に関連していました。
  • しかし、設定ミスにより、サーバーにパスワードがないままになり、IP アドレスを知っているだけで、Webブラウザーを使用して内部の機密メールボックス データにアクセスできるようになっていた様です。
  • セキュリティ研究者の報告により、本件がTechCrunchを通じて米国政府に警告を発したとの事です。これにより、現在は国防総省が設定を変更して、該当のサーバにはアクセスができなくなっているとのことです。
  • サーバーには、何年も前の軍のメッセージも残されていた様です。

2023/02/21

ATLASSINの盗まれた従業員アカウントによるデータ漏洩

  • bleepingcomputerより
  • Atlassian は、盗まれた従業員の資格情報を使用したデータ漏洩に見舞われました。 ただし、同社は、ネットワークと顧客情報は安全であると述べています。

2023/02/13

オークランド市がランサムウェア攻撃を受けてオフラインに

  • bleepingcomputerより
  • オークランド市が水曜日の夜にランサムウェア攻撃に見舞われ、システムがオフラインになった様です。攻撃は消防・救急および緊急リソースには影響を与えなかった様です。
  • 2022年のランサムウェア攻撃はEmisoftが纏めています。

A10 NetworkがPlayランサムウェアによる攻撃を受ける

  • bleepingcomputerより
  • カリフォルニアに本拠を置くネットワーク ハードウェア メーカー「A10 Networks」がPlay ランサムウェアにより攻撃を受け、データが侵害されたとの事です。
  • A10 Networksは広く使われているセキュリティ製品を製造しているため、今後の動向が気になります。

カリフォルニアの医療グループにランサムウェア攻撃。データ侵害が 330 万人の患者に影響を与える

  • bleepingcomputerより
  • カリフォルニアの医療グループ(Regal Medical Group、Lakeside Medical Organization、ADOC Medical Group、Greater Covina Medical)にランサムウェア攻撃によるデータ侵害があったそうです。約330万人の患者に影響があったとのこと。
  • 以下のデータが侵害されているようです
    • フルネーム
    • 社会保障番号 (SSN)
    • 生年月日
    • 住所
    • 医学的診断と治療
    • 臨床検査結果
    • 処方データ
    • 放射線レポート
    • 健康保険加入者番号
    • 電話番号

2023/02/10

トルコ地震の支援詐欺でPayPalとTwitterが悪用される

  • bleepingcomputerより
  • トルコ地震の被害が連日報道されていますが、「募金詐欺」がPayPalやTwitterなどを悪用している様です。
  • bleepingcomputerの記事には、色々な詐欺のサンプルがスクリーンショット付きで載っています。
  • この様な「人道的支援」の際には善意を悪用した詐欺が横行するものです。募金は必ず、「正当な組織の正当なサイト」から行う様にしましょう。

検索結果で表示されるGoogle 広告がAWS フィッシング サイトを表示させる

  • bleepingcomputerより
  • AWSログインを標的とする新しいフィッシングキャンペーンが、Google 広告を悪用してフィッシングサイトをGoogle 検索に忍び込ませ、ログイン資格情報を盗んでいます。
  • このキャンペーンは Sentinel Labs によって2023年1月30日に発見されました。悪質な広告は、「aws」を検索したときに 2 位にランクされ、Amazon 独自のプロモーション検索結果のすぐ後ろにランクされました。
  • Sentinel Labs はフィッシング サイトを保護する CloudFlare に悪用を報告したため、サイトはすぐに閉鎖されました。 ただし、リンク先のサイトがオンラインでなくなったとしても、悪意のある Google 広告は残ります。
  • Google 広告は最近、あらゆる種類のサイバー犯罪者から大規模な悪用を受けており、標的に到達するための手段として機能しています。

カナダ最大の書店Indigoがサイバー攻撃を受けてサイトがダウン

  • bleepingcomputerより
  • カナダ最大の書店チェーンであるIndigo Books & Musicが昨日、サイバー攻撃に見舞われました。顧客はWeb サイトを利用できなくなり、購入も現金支払いのみとなりました。
  • インシデントの詳細は不明ですが、Indigoは、ハッカーが顧客データを盗んだ可能性を含めて調査を進めているとのことです。

CISAがサプライチェーンセキュリティを運用に乗せるために新たなオフィス(C-SCRM)を設立

  • Federal News Networkより
  • CISAが、セキュリティガイダンスやポリシーの実践を支援するために、新しいサプライチェーンリスク管理オフィス(C-SCRM)を構築しています。
  • CISA はサプライチェーンリスク管理のための新しいトレーニング コースを開発中で、今年後半に導入することを目指しています。 また、「C-SCRMの運用化」に焦点を当てての会議も開始しているそうです。

2023/02/09

医薬品販売業者 AmerisourceBergen がLorenzランサムウェアグループによるセキュリティ侵害を受ける

  • databreachs.netより
  • bleepingcomputerの記事はこちら
  • Lorenz ランサムウェア グループが、AmerisourceBergen/MWI Animal Health をリーク サイトに追加しました。その後の調査で、ハッカーが子会社の 1 つの IT システムを侵害したことを確認したとの事です。現在は調査中とのことで、詳細は公開されていません。

2023/02/06

フロリダの病院がサイバー攻撃を受けシステム停止。ランサムウェア攻撃か。

  • bleepingcomputerより
  • 2023/02/02遅く、フロリダのTallahassee Memorial ヘルスケア (TMH) がサイバー攻撃を受け、ITシステムがオフラインになりました。
  • TMH は金曜日に発表した声明で、「当社の IT 部門が攻撃を早期に検出し、IT システムをシャットダウンして影響を制限しました」と述べています。
  • Florida Politics紙によると、ランサムウェアによる攻撃の可能性がある様です
  • 2021年から引き続き、今年もランサムウェアによる病院系列への攻撃が盛んになっています。病院関係のシステムでは、ランサムウェア攻撃にあった際の手順(プロトコル)等を予め考えておいたほうが良さそうです。

2023/02/02

英国JDスポーツがデータ侵害

  • bleepingcomputerより
  • 英国のチェーン店JD スポーツは、1,000 万人の顧客の注文情報を含むサーバーがハッキングされたとして、顧客に警告しています。
  • 同社は、この攻撃により、2018 年 11 月から 2020 年 10 月の間に注文された顧客の情報が漏洩したと警告しています。
  • JDスポーツは、不正アクセスを即座に検出し、侵害されたサーバーを保護するために迅速に対応し、その後のアクセス試行を防いだと述べています。

2023/01/28

ODIN Intelligenceが攻撃を受け、法執行機関のデータが流出する

  • secureworldより
  • WIREDの記事
  • TechCrunchの記事
  • 顔認識で追跡を行っている法執行機関の ODIN Intelligenceが攻撃を受け、大量の機密データが公開されました。
  • 「All Cyber​​-Cops Are Bastards」と名乗るグループによって実行された攻撃により、顔写真、家や車の写真など、さまざまな機密情報を含む 15 GB を超えるデータが流出しました。
  • このデータには、ODIN のアプリである SweepWizard(法執行機関が捜索令状や強制捜査に使用するアプリ) によって生成された音声ファイルとレポートも含まれています。また、データには、2 つの FBI メール アドレスを含むログイン情報も含まれています。

Google広告のフィッシング攻撃がBitwarden等のパスワードマネージャを襲う

  • bleepingcomputerより
  • Bitwarden やその他のパスワード マネージャーがGoogle広告のフィッシング攻撃の標的となっています。
  • 2023/01/24から、「bitwarden パスワード マネージャー」の検索結果に「Bitward – パスワード マネージャー」というタイトルの Google 広告が出る様になりました。
  • 実際には、この広告はよく出来た偽物であり、パスワードが盗まれる可能性がありました。
  • 昨今、同じ様な攻撃が増えています。パスワードマネージャを利用する場合には、念の為(あればですが)MFAを有効にしておきましょう。

Googleが中国のフェイクニュースを流していた50,000のアカウントを削除

  • bleepingcomputerより
  • GoogleのTAGのブログはこちら
  • Google の脅威分析グループは、複数のオンライン プラットフォームで中国寄りの偽情報を広めている「Dragonbridge」または「Spamouflage Dragon」として知られるグループにリンクされている数万のアカウントを停止しました。
  • 昨年、同社は YouTube、Blogger、AdSense などのプラットフォーム全体で Dragonbridge が使用していた 50,000 以上のアカウントを削除しました。
  • YouTube チャンネルの大部分は、昨年削除された時点で登録者が 1 人もおらず、動画の 80% 以上は 100 回未満の視聴回数でした。
  • 「DRAGONBRIDGE の活動のほとんどは、政治的メッセージのない低品質のコンテンツであり、多くのチャネルやブログに掲載されています。しかし、DRAGONBRIDGE アカウントのごく一部は、親中的なメッセージを投稿しています」との事です。

2023/01/25

GoTo(旧LogMeIn)が2022年11月のインシデント時に顧客のバックアップと暗号化鍵が漏洩していたと警告

  • bleepingcomputerより
  • GoToのブログ
  • GoToの調査によると、昨年11月に発生したインシデント時に下記の製品のバックアップが盗まれていたことがわかりました。
    • Central、Pro、join.me、Hamachi、 RemotelyAnywhere
  • また、暗号化鍵の一部も盗まれていた可能性があるとのことです。
  • GoToではアカウントパスワードのリセット、及びMFAの再設定を推奨しています。
  • 筆者もLogMeIn時代にはかなりお世話になった製品です。未だ日本でも使い続けている方も多いと思いますので、気をつけましょう。

ロシア最大のISPが2022のロシアに対するDDoS攻撃について総括。

  • bleepingcomputerより
  • Rostelecomのブログはこちら
  • ロシア最大のISPであるRostelecomの調査によると、2022年はロシア国内の企業に対するDDoS攻撃が過去最大となった模様です。ウクライナ・ロシア紛争に絡んでの攻撃がやはり多かった模様です。
    • DDoS 攻撃は最大760 Gb/s(前年のほぼ2倍)
    • 最長のDDoS攻撃は2,000時間(およそ三ヶ月間)続いたとの事
    • 攻撃は主に「絨毯爆撃DDoS」と呼ばれるものだったとの事

2023/01/22

T-MobileがAPIデータ侵害。3,700万のアカウント情報が流出

  • bleepingcomputerより
  • T-Mobileの発表はこちら
  • T-MobileがAPIを通じて攻撃者により侵害され、3,700万のアカウント情報が流出したとのことです。
  • 2023/01/05に悪意のあるアクティビティを検出して調査を開始。調査により、2022/11/25頃からデータ侵害が行われていたらしいとのことです。
  • 同社によると、このAPIを通じて得られるデータは基本的なものが多く、名前、請求先住所、電子メール、電話番号、生年月日、口座番号、回線数などの情報との事です。

英国で「ケンタッキー・フライドチキン」「ピザハット」「タコベル」などのなじみのある飲食チェーンを傘下に持つ「Brands」がランサムウェア攻撃に遭う

  • bleepingcomputerより
  • Brandsの声明はこちら。
  • 英国で「ケンタッキー・フライドチキン」「ピザハット」「タコベル」などのなじみのある飲食チェーンを傘下に持つ「Brands」がランサムウェア攻撃に合ったそうです。
  • Brandsの声明によると、インシデントを検出するとすぐに、特定のシステムをオフラインにするなどのプロトコルに従って処置したとのことです。
  • 侵害の細かい情報は現在の所公表されていません。

PayPalが大規模な Credential Stuffing 攻撃によりデータ侵害

  • bleepingcomputerより
  • Credential Stuffing攻撃とは、色々なWeb サイトでのデータ漏洩から入手したユーザー名とパスワードのペアを試して、アカウントへのアクセスを試みる攻撃です。
  • 2022/12/06〜2022/12/08に、このCredential Stuffing攻撃がPayPalに対して仕掛けられ、35,000人近くのユーザが影響を受けたとの事です。
  • PayPalは12/20までに調査を終え、影響を受けたアカウントをリセットし、すでに通知済みとの事です。
  • やはりSaaSを含めて、最近のサービスでは最低でもMFAは有効にしておいたほうが良いですね。

MailChimpが従業員にソーシャルハッキングを仕掛けられ、新たにデータ侵害

  • bleepingcomputerより
  • MailChimp によると、Mailchimp の従業員と請負業者に対してソーシャル エンジニアリング攻撃が行われ、1/11に従業員の資格情報へのアクセスが発見されたとのことです。
  • MailChimpの調査によると、攻撃者は顧客サポートアカウントを介してサポートツールにアクセスし、133人の顧客データがアクセスできた可能性があるとのこと。
  • 被害を受けた可能性がある顧客には、1/12に連絡を終わっているとの事です。

NISSAN North Americaでサードパーティがデータ侵害。17,998 人の顧客が侵害の影響を受ける。

  • bleepingcomputerより
  • データ侵害の報告はこちら
  • 日産は2023 年 1 月 16 日に、メイン州司法長官室にデータ侵害を報告しました。これによると、17,998 人の顧客が侵害の影響を受けたとのことです。
  • データ侵害の通知は、すでに対象者に行っているとの事です。
  • この通知によると、2022年6月21日に、日産が使用しているソフトウェア開発ベンダーからデータ侵害の情報を受け取ったとのこと。サードパーティが日産から顧客データを受取り、開発とテストに使用した所、データベースの構成が不十分だったため、データが誤って公開されたとの事です。
  • セキュリティインシデントを知った日産は内部で調査を行っており、2022年9月26日の調査の結果によって、権限のないアカウントがデータベースにアクセスした可能性が高いことを確認したとのことです。具体的には、ソフトウェアのテスト中にコード内に埋め込まれたデータが、クラウドのパブリックリポジトリに一時的に保存されてた様です。
  • 公開リポジトリで一時的に利用可能であった間にアクセスまたは取得された可能性のある情報には、名前、生年月日、および NMAC(Nissan Motor Acceptance Company)アカウントの番号が含まれていたとのこと。クレジットカード情報等は含まれていなかった様です。

Vice SocietyランサムウェアグループがDuisburg-Essen大学へのサイバー攻撃を主張

  • bleepingcomputerより
  • UDEの声明
  • Vice Societyに関するFBI/CISA/ISACの共同声明
  • 2022年11月に発生したDuisburg-Essen大学(UDE)へのサイバー攻撃に関して、Vice Societyランサムウェアグループが犯行を主張しているとのことです。
  • UDEの声明によると、11月末に発生したインシデントの際には、攻撃が発見された直後に IT インフラストラクチャ全体をシャットダウンし、ネットワークから切断したとの事です。それにもかかわらず、攻撃者がデータの身代金を要求したという事から、高度に専門的な組織による攻撃だったろうと考えられていました。
  • UDEは身代金を支払っておらず、今後も支払うつもりはないとのことです。連邦刑事警察局 (BKA) と連邦情報セキュリティ局 (BSI) も、これを推奨しています。
  • Vice SocietyランサムウェアグループはFBI/CISA/ISACの共同声明でも出されていますが、過去数年間に教育機関を標的にした活動を行っています。今後も教育機関は注意が必要です。

2023/01/16

カナダのアルコール小売業者のサイト(LCBO)が攻撃され、クレジットカード情報が流出

  • bleepingcomputerより
  • 1/12にLCBOは声明を発表し、1/10にサイトが攻撃され、クレジットカード情報が流出していたことを明らかにしました。
  • 流出したものは、顧客の名前、電子メール アドレス、住所、クレジットカード情報、 LCBO.com アカウントのパスワード等との事です。

Vice Societyランサムウェアグループがオーストラリアの消防サービスへの攻撃を主張

  • bleepingcomputerより
  • Vice Society ランサムウェアグループが、12月に発生したオーストラリアの消防サービス(Fire Rescue Victoria: FRV)への攻撃を主張しています。
  • 2023/01/06にFRVにより発表された内容によると、攻撃は12/25から発生したとの事。緊急対応サービスは影響を受けませんでした。
  • この攻撃により下記の情報が漏洩した可能性があるそうです。
    • FRVに在籍中/過去に在籍していた職員の個人情報
    • 採用応募者に関する個人情報

2023/01/12

Royal Mailがサイバー攻撃を受けてダウン

  • bleepingcomputerより
  • NCSCの声明
  • 英国の郵便配達サービスである「Royal Mail」がサイバー攻撃を受けたため、2023/01/12から国際配送サービスを停止しているとのことです。
  • (2023/01/16追記)。LockBitランサムウェアグループが本攻撃の犯行を行ったことが確定しました。

偽のAnyDeskサイトがVidarマルウェアをプッシュ

  • bleepingcomputerより
  • 公式のAnyDeskサイトになりすました1,300以上のドメインを使用する偽サイトがVidarマルウェアを拡散させているとのことです。
  • ソフトウェアをダウンロードする際には必ず公式のサイトを使用するとともに、URLの入力間違いなどによるTyposquatting攻撃に気をつけましょう。

アイオワ州のデモイン公立学校がランサムウェア攻撃を受けてダウン。学年度終了日を延長する見込み

  • デモインのニュース
  • アイオワ州デモインにあるデモイン公立学校が、1/10にランサムウェア攻撃にあったためシステムをダウンさせているとのことです。このため、1/10, 1/11はシステムが使えなくなっており授業をキャンセルさせたとのこと。
  • これにより、本来であれば5/31に学年度が終了するところだったのを、6/2まで延長するとのことです。

2023/01/08

悪意の有るPyPIパッケージ(PowerRAT)がCloudflare Tunnelを利用してファイアウォールをバイパス

AirFranceとKLMが顧客情報流出

2023/01/05

CircleCIでインシデント発生した模様。すぐにシークレットのローテーションとログの確認を推奨。

  • CircleCI セキュリティアラートより
  • CircleCIでセキュリティインシデントがあった模様です。
  • CircleCIをプロジェクトで使用している方々は、まず上述のブログにある通り全てのシークレットのローテーションを行いましょう。
  • また、2022/12/21から2023/01/04までに不正アクセスがなかったかシステムのログを確認することが推奨されています。

2023/01/04

米国の鉄道会社ワブテックがLockBitランサムウェアグループによる攻撃を受ける

  • bleepingcomputerより
  • 2022/06/26に米国の鉄道会社ワブテックが、工場の一つで異常なアクティビティを発見したとの報道を出していました。この結果、2022/03/15からLockBitランサムウェアグループによる攻撃を受けており、情報が流出してたことが発覚しました。
  • 最終的には2022/08/20に全ての漏洩した情報が公開されています。
  • こちらはLockBitの公開情報(redpacketsecurity.comより)
  • ワブテックは2022/12/30に、影響を受けたすべての個人にデータ侵害の通知を送信しているそうです。

Royalランサムウェアグループがクイーンズランド工科大学への攻撃の犯行声明を出す

  • クイーンズランド工科大学の攻撃に関するブログはこちら
  • クイーンズランド工科大学(QUT)のブログによると、2022/12/22にサイバーセキュリティ上のインシデントがあったそうです。
  • これによると、攻撃の予防措置として幾つ可能システムを停止したため、HiQ Web サイトや Blackboard など、多くの QUT システムが使用不可能になったようです。
  • bleepingcomputerによると、RoyalランサムウェアグループがQUTへの攻撃に対する犯行声明を出しているようです。この記事によると、漏洩したのは人事ファイル・電子メール・ID カード・財務書類や行政書類等の様です。

2023/01/02

ALPHV(BlackCat)ランサムウェアグループが被害サイトのレプリカを作成して盗んだデータを公開

  • bleepingcomputerより
  • ALPHV(BlackCat)ランサムウェアグループが、新しい恐喝手口として「被害サイトのレプリカを作成して盗み出したデータをそこで公開する」というものを試している様です。

LockBitランサムウェアグループがSickKidsへの攻撃を謝罪。無償で復号化ツールを提供。印象を良くするPR目的か。

  • bleepingcomputerより
  • SickKidsのインシデント報告
  • 2022/12/18にSickKids(カナダのオンタリオ州トロントのユニバーシティアベニューにある小児科病院)がLockBitによるランサムウェア攻撃を受けました。攻撃は幾つかの臨床システム・内部システム・電話・Webサイトに影響を与えただけで医療系に関しては問題はなかったとの事です。
  • これに対しLockBitランサムウェアグループは「攻撃がLockBitグループのポリシーに違反していた」という理由で、SickKidsに謝罪し無償で復号化ツールを提供したとのことです。
  • LockBitランサムウェアグループのポリシーとして「死に至る可能性のある「医療機関」を暗号化標的にすること」は禁止されているとのこと。
  • しかし、LockBitランサムウェアグループは度々医療機関を攻撃しているため、上述のポリシーが完全に機能しているわけでもありません。また、このSickKidsの話がLockBitランサムウェアグループに対する良いイメージを与えるわけでもありませんので、その点は強調しておきます。
  • 実際、今回の行為は「LockBitランサムウェアグループが自己の印象を良くするためにPRとしてやったことだ」と指摘している声もあります。

2023/01/01

LockBitランサムウェアグループがポルトガルのリスボン港管理局 (APL)への犯行声明を出す

  • bleepingcompuerより
  • LockBitランサムウェアグループが、ポルトガルのリスボン港管理局 (APL)に対するサイバー攻撃の犯行を主張しているそうです。
  • サイバー攻撃は港の運営に影響を与えてはいないとのこと。
  • 当地の新聞によると、APL及び行政はこの様な際のプロトコルと対応措置を迅速に行ったとのことです。
  • この様にランサムウェアグループに攻撃を受けた際のプロトコルを日頃から整備しておくと迅速な対応が取れます。2023年は日本の企業もこの様なプロトコル作りに入ったほうが良いと思われます。

カナダのCopper Mountain がランサムウェア攻撃を受けて工場を閉鎖

  • bleepingcomputerの記事
  • Copper Mountainの記事はこちら
  • 2022 年 12 月 27 日 遅くにランサムウェア攻撃を検知。攻撃に対応してプロトコルとリスク管理プロセスに従い、システムを隔離・予防的シャットダウンを行ったとのことです。
  • Copper Mountain は攻撃の原因を調査しており、関係当局と連絡を取り合っているとのこと。現時点では操業に問題は無い状態とのことです。
  • やはりランサムウェアグループによる攻撃のプロトコル作成は大事になっています。2023年はこの動きを日本企業でも取り入れると思われます。

タイトルとURLをコピーしました