2023Q3 サイバー攻撃関連

ここでは実際に2023Q3に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

2023Q2サイバー攻撃関連トピックはこちら

2023Q1サイバー攻撃関連トピックはこちら

2022Q4サイバー攻撃関連トピックはこちら

2023/09/28

Sonyが攻撃を受け3.14GBのデータがハッカーフォーラムに流出。犯行声明が複数者から出ているため攻撃者は不明

• bleepingcomputerより
• 今週、RansomedVC という名前の脅威アクターが、SONY.com をハッキングし、その「データとアクセス」を売りに出したと主張しました。
• RansomedVC のオニオン リーク サイトに投稿されたメモには、「私たちはすべての Sony システムを侵害することに成功しました」と書かれています。 「私たちは身代金を要求しません。データは売却します。ソニーが支払いをしたくないためです。」
• しかし別の攻撃者「MajorNelson」も攻撃の犯行声明を出し、RansomedVCの主張に反論しています。
• 攻撃者が共有したデータはソニーに属しているようですが、ソニーは現在調査中との情報です。

ShadowSyndicate グループが7つのランサムウェアを使い分ける

• Group-IBのレポートより
• Group-IBの調査によると、ShadowSyndicateと呼ばれるグループ（現在は未だRaaS アフィリエイトであるか初期アクセス ブローカーであるかは確認されていないが恐らく前者）がQuantum、Nokoyawa、BlackCat/ALPHV、Clop、Royal、Cactus、Play ランサムウェアを使用していた様です。
• 興味深い情報ですので、別口で纏めたいと思います。

医療機関Better Outcomes Registry & Network (BORN) がMOVEit脆弱性を悪用されデータ流出

• bleepingcomputerより
• オンタリオ州が資金提供する医療機関である Better Outcomes Registry & Network (BORN) は、Clop ランサムウェアグループがMOVEitの脆弱性を悪用した攻撃により340万人のデータ流出を受けたことを明らかにしました。
• 被害者向けの情報等はBORNのページに載っています。

2023/09/24

ダラス市がRoyal ランサムウェアによるネットワーク侵入の詳細を発表

• ダラス市の発表はこちら(PDF)
• テキサス州ダラス市は今年の5月にすべてのITシステムが停止されたRoyalランサムウェア攻撃は、盗まれたアカウントから始まったと発表した。
• Royalグループは4月7日から5月4日まで標的システムへのアクセスを維持し、1.169TB相当のファイルの収集を行いました。

ホテル利用者を標的にしたフィッシングキャンペーン

• akamaiのブログより
• Akamai の研究者が、ホテルや予約サイト・旅行代理店のサイトの顧客を標的としたフィッシングによる情報搾取キャンペーンを特定しました。 攻撃者はホテルを装い予約サイトを通じて顧客に「クレジットカードの再確認」を促し、顧客情報を盗み出しています。
• クレジット カード情報を要求する Booking.com の支払いページを装ったフィッシング サイトがユーザーに表示される様になったりしています。是非一度ご確認ください。

2023/09/22

Pizza Hut オーストラリアが19万件以上の顧客データの侵害。

• bleepingcomputerより
• Pizza Hut オーストラリアがサイバー攻撃を受け、193,000件の顧客情報に侵害があったとのことです。問題が発生した顧客には連絡が届くとのこと。
• 名前、メールアドレス、住所、オンラインアカウントのパスワード（暗号化済み）、クレジットカード番号等が流出した模様です。

2023/09/21

WinRAR脆弱性(CVE-2023-40477)のFake PoCがGitHubに登場。ご注意を

• PaloAltoのブログより
• 偽のWinRAR脆弱性のPoCがGitHubに登場した様です。VenomRATと呼ばれるマルウェア入とのことなので気をつけましょう。

2023/09/20

国際司法裁判所のシステムにハッカーが侵入

• bleepingcomputerより
• 国際司法裁判所のtweetはこちら
• 国際刑事裁判所（ICC）は火曜日に先週のサイバー攻撃を公表しました。「先週末、国際刑事裁判所の業務はその情報システムに影響を与える異常な活動を検出した」とICCは述べています。
• オランダはICCの主催国となっているため、現在オランダ当局の支援を受けてこの事件を調査しているとも発表されました。

2023/09/18

マツダが個人情報10万件を漏洩。顧客情報は含まれていない模様

• ITMediaより
• マツダが攻撃に遭い、同社社員情報・取引先情報の個人情報が漏洩した模様です。
• 顧客情報は漏洩していないとの事です。
• 引き続き注意が必要です。

2023/09/15

オークランド交通局がランサムウェアによるデータ侵害

• bleepingcomputerより
• ニュージーランドのオークランド交通（AT）運輸局が、ランサムウェアグループによるサイバーインシデントで広範囲にわたってサービスが停止している様です。

マンチェスター警察のデータ侵害

• bleepingcomputerより
• マンチェスター警察がランサムウェアグループによるデータ侵害にあった様です。
• イギリス全土で似たような攻撃が広がっている様なので、以後の続報に注意が必要です。

Google検索での偽のCisco Webex ダウンロード広告に注意

• malwarebyteより
• Google検索でのCisco Webexダウンロード広告を利用してマルウェアをダウンロードさせるキャンペーンが行われていますので注意してください。
• 画像などはmalwarebyteの記事に載っていますが、ロゴも同じで本物のCisco Webexに見えますが、実際には広告主がメキシコだったり異なっています。
• ダウンロードしようとすると悪意の有るサイトに飛ばされてマルウェアがダウンロードされるようです。皆様、広告などではなく必ず正規のサイトからインストールする様に気をつけてください。

2023/09/14

Rollbarがデータ侵害

• bleepingcomputerより
• ソフトウェアバグ解析会社のRollbarが8月初旬にデータ侵害を受けていたことがわかりました。
• 未知の攻撃者が同社システムを通じて顧客のトークンにアクセスし、データが侵害されたとのことです。
• 同社によると、顧客のプロジェクトアクセストークンが盗まれたらしく、このことが被害を増大させる可能性も有ります。同社システムを利用していたユーザは連絡を待ったほうが良さそうです。

2023/09/13

Storm-0324がTeamsのフィッシングによりアカウント情報を搾取

• Microsoftのブログより
• Microsoft が Storm-0324 として追跡している脅威アクターが2023 年 7 月以降Microsoft Teams のチャットを通じてフィッシングを行っていることが観察されたそうです。

Free Download Manager のバックドア

• Kasperskyのブログより
• 悪意のある Debian リポジトリが「Free Download Manager」と呼ばれるソフトウェアの Debian リポジトリをホストしていると主張しており、ダウンロードすると悪意の有るパッケージがインストールされる様です。
• こちらは後ほど少し追いかけてみたいと思います。

2023/09/12

MGMリゾートがサイバー攻撃でシャットダウン

• bleepingcomputerより
• MGM リゾートは9/12にWeb サイト・予約システム・ATM・スロット マシン・クレジットカード 等のサービスを含むシステムがサイバー攻撃で一部が停止したと発表しました。
• Twitterによる発表はこちらになります。
• bleepingcomputerの記事に、停止したスロットマシン等の写真が掲載されています。

2023/09/11

トロイの木馬化された偽のTelegramアプリケーション

• Kasperskyのレポートより
• 繁体字中国語、簡体字中国語、ウイグル語で説明されている大量の Telegram MOD が Google Play で発見されました。
• Kasperskyがダウンロードしてプログラムの中身を確認した所、通信の内容、チャット/チャネルのタイトルと ID、送信者の名前と ID を収集して送信するようなプログラムが仕込まれていた様です。
• IoC等はKasperskyのサイトで見ることが出来ます。
• アプリケーションは必ず本家のものをGoogle Playで選んでダウンロードするようにしましょう。メールやSNSなどのリンクから入れるのは危険です。

2023/09/09

イスラエルの”Mayanei Hayeshua”病院への攻撃でRagnar Lockerが関与を主張

• bleepingcomputerより
• イスラエルのMayanei Hayeshua病院が8月に攻撃されたのを受けて、ランサムウェア集団「Ragnar Locker」が犯行声明を出し、サイバー攻撃中に盗まれたとされる1TBのデータを漏洩すると脅迫している模様です。

2023/09/05

Oktaが特権獲得のためのソーシャルエンジニアリング攻撃に対して注意喚起

• Oktaのブログより
• Okta は、脅威アクターがソーシャル エンジニアリングを使用して、Okta の顧客組織 (テナント) 内で高度な特権の役割を獲得する攻撃を観察しました。
• ここ数週間、米国を拠点とする複数の Okta 顧客が、IT担当者に対するソーシャルエンジニアリング攻撃を報告しました。この攻撃では、発信者の戦略は、サービス デスク担当者を説得して、高度なユーザーによって登録されたすべての多要素認証 (MFA) 要素をリセットすることでした。
• ソーシャルエンジニアリングは、人間に対して行うために防ぎにくいものでもあります。リテラシーの向上が求められます。

2023/09/02

ゴルフ用品大手のCallawayでデータ侵害。100万人の情報が流出

• bleepingcomputerより
• ゴルフ用品大手のCallawayで8月初めにデータ侵害があった模様です。100 万人を超える顧客の機密の個人データとアカウント データが流出したとの事です。
• 攻撃者は現在の所不明とのことです。

2023/09/01

Sourcegraph Webサイトが管理者のアクセストークン流出によりデータ漏洩

• bleepingcomputerより
• AIコーディング プラットフォームの Sourcegraph は、7/14に誤ってオンラインに漏洩したサイト管理者アクセス トークンが悪用されてWeb サイトが侵害されたことを明らかにしました。
• 攻撃者は漏洩したトークンを用いて8/28に新しいサイト管理者アカウントを作成し、2 日後に同社の Web サイトである Sourcegraph.com の管理者ダッシュボードにログインしました。

「Classicam」というScam As A Serviceが拡大

• bleepingcomputerより
• ClassicamというScam As A Service (詐欺 as a service)が拡大しているようです。
• 詳しい情報はbleepingcomputerを確認してください。

2023/08/31

Cisco VPNがランサムウェアの初期侵入標的となっている

• bleepingcomputerより
• Rapid7のブログはこちら
• Akira Ransomwareに関するCiscoのブログはこちら
• 攻撃者は現在、多要素認証（MFA）を強制しないなどのセキュリティ防御の欠陥を利用したクレデンシャルスタッフィングやブルートフォース攻撃で、Cisco 適応型セキュリティ アプライアンス（ASA）SSL VPN をターゲットにしているそうです。
• Akira Ransomwareも初期侵入にCisco VPNを使用している様です。
• Rapid7はレポートでこれらのインシデントに関して、攻撃者が今年3月以来、ターゲットのログイン資格情報を推測することを目的としたブルートフォース攻撃でこれらのデバイスに攻撃を向けていると報告しています。
• IoC等がRapid7のレポートにありますので参考にしてください。

パラマウントがデータ侵害を公表

• bleepingcomputerより
• パラマウントが影響を受けた個人に侵害通知書を送付し、攻撃者が2023年5月から6月にかけて同社のシステムにアクセスしていたと述べたそうです。
• ドキュメントはこちらになります。
• パラマウントの調査によると、個人情報には名前、生年月日、社会保障番号やその他の政府発行の識別番号（運転免許証番号やパスポート番号など）、およびパラマウントとの関係に関連する情報が含まれている可能性があるとの事です。
• また、データ侵害の影響を受けた人は100 人未満との事です。

2023/08/30

ミシガン大学でサイバー攻撃

• bleepingcomputerより
• ミシガン大学は、サイバーセキュリティインシデントに対処するためにすべてのシステムとサービスをオフラインにしたため、オンラインサービスに広範な影響がありました。
• セキュリティインシデントに関しての詳しい情報は未公開とのことです。

2023/08/27

Lapsus$の10代ハッカー、大規模なサイバー攻撃で有罪判決

• bleepingcomputerより
• ロンドンの陪審は「Lapsus$」の18歳のメンバーが複数の有名企業のハッキングを幇助し、データを盗み身代金を要求したと認定した。
• Microsoft・Uber・NVIDIA・Rockstar Gamesなどの大企業を対象としたハッキングとなっています。
• 日本語のニュースでも詳しい情報が出ています。

4月以降WinRARの脆弱性を狙う攻撃が増加

• bleepingcomputerより
• CVE-2023-38831 として追跡されている WinRar のゼロデイ脆弱性は、アーカイブ内の無害なファイルをクリックするとマルウェアをインストールするために積極的に悪用されています。
• この脆弱性は 2023 年 4 月から積極的に悪用されており、DarkMe、GuLoader、Remcos RAT などのさまざまなマルウェア ファミリの配布に利用されています。

「Carderbee」という正体不明のAPTが香港やアジアの組織を攻撃

• bleepingcomputerより
• Symantecのブログはこちら
• これまで知られていなかったAPT「CardBee」が、Cobra DocGuard ソフトウェアを使用し、被害者のコンピューターに Korplug バックドア (別名 PlugX) を展開するサプライ チェーン攻撃を実行しています。
• サプライチェーン攻撃にはMicrosoft証明書が悪用されている様です。
• IoC等はSymantecブログに載っていますので参考にしてください。

SEIKOがBlackCatランサムウェアグループに攻撃される

• bleepingcomputerより
• SEIKOのアナウンスはこちら
• 時計メーカーのセイコー（SEIKO）がBlackCat/ALPHVランサムウェアグループによりサイバー攻撃を受けたことが発表されました。
• 2023 年 8 月 10 日、同社はデータ侵害の通知を発行し、不正な第三者が IT インフラストラクチャの少なくとも一部にアクセスし、データにアクセスまたは流出したことを通知しました。
• 7/28に未特定の攻撃者による侵害が認められ、8/2に専門家に調査を依頼した所判明した様です。
• BlackCat ランサムウェア グループがSEIKOへの攻撃の背後にいると主張しており、脅迫も行われています。
• 初期アクセス ブローカー (IAB) が 7 月 27 日に販売を行っていたという情報も入っています。

2023/08/17

米国の大手エネルギー企業がQRコードフィッシング攻撃の標的に

• bleepingcomputerより
• 米国の著名なエネルギー会社をターゲットとした、QRコードを利用するフィッシング キャンペーンが観察されています。
• 電子メールには、受信者がアカウントを確認するためにスキャンするよう求められる QR コードを含む PNG または PDF 添付ファイルが添付されています。
• QRコードのサンプルもbleepingcomputerに載っています。見分けるのは難しいですね。参考にしてください。

2023/08/15

Discord.ioが76万ユーザのデータ侵害を確認

• bleepingcomputerより
• Discord.ioが76万人のメンバーの情報が流出したデータ侵害を受けて一時的に停止しました。
• Discord.io は公式の Discord サイトではなく、サーバー所有者がチャンネルへのカスタム招待を作成できるようにするサードパーティのサービスです。

“MaginotDNS”と呼ばれる新たな攻撃

• usenixの論文
• BlackHatでのスライドはこちら
• MaginotDNSと呼ばれるDNSキャッシュ保護に対するあらたな攻撃手法が発表されました。
• 詳しい情報はどこかで追記しますが、スライドに詳しく載っています。

2023/08/12

Lapsus$の脅威レポートがまとめられる

• CISAより
• CYBER SAFETY REVIEW BOARDによるLapsus$に関する脅威レポートがまとめられています。SIMスワッピングの話なども載っていますので是非一度目を通しておきましょう。

2023/08/10

ミズーリ州でMOVEitの脆弱性により医療情報にデータ侵害

• bleepingcomputerより
• ミズーリ州社会サービス局が、MOVEitによる脆弱性を利用されて医療情報がデータ侵害によって流出したと警告しています。
• MOVEitの脆弱性による被害はかなり大きいですね。Clopランサムウェアグループとの関係もありますし。MOVEitの脆弱性と被害に関してはこちらの記事にもまとめています。

2023/08/05

AWSのSSM agentが検出不可能なRATとして使用できるようになる手法が見つかる

• MITIGAの記事より
• 研究者らは、アマゾン ウェブ サービス (AWS) で、ハッカーがプラットフォームのSSMエージェントを検出不可能なトロイの木馬 (RAT) として使用できるようにする手法を発見しました。 Mitiga のセキュリティ研究者によって考案されたこの攻撃は、Windows マシンと Linux マシンの両方に影響を与え、その悪用はセキュリティ ソフトウェアによって検出される可能性が低くなります。
• 概念から実際の懸念点、推奨事項までが元のブログに載っていますので参考にしてください。

「PhishForce」 — Salesforce のメールサービスで発見された脆弱性を悪用したFacebook アカウントのフィッシング

• labs.guad.ioのブログより
• Guardio Labsの研究チームは、Salesforce の正規のメールサービスと SMTP サーバーのゼロデイ脆弱性を悪用したフィッシング攻撃を検知しました。
• ブログには「@salesforce.com」メールアドレスから送信されたフィッシングメールのサンプルも載っています。このメールのボタンをクリックすると、Facebookアカウントの詳細を取得するためのフィッシングページに誘導されます。
• この攻撃のTTPがGuardio Labsのブログに詳しく載っていますので参考にしてください。

2023/08/02

イスラエル最大の製油所のサイトがDDoS攻撃を受けてオフラインに

• bleepingcomputerより
• イスラエル最大の製油所運営会社BAZANグループのウェブサイトが、DDoS攻撃を受けてオフラインになった様です。
• Telegramチャンネルで、イランのハクティビストグループ「サイバーアベンジャーズ」、別名「Cyber​​Av3ngers」が先週末にBAZANのネットワークに侵入したと主張している様です。

2023/07/28

MaximusがMOVEit Transferの脆弱性により800万〜1,100万人の個人データ侵害に遭う

• bleepingcomputerより
• 米国の政府サービス請負業者である Maximus は、最近の MOVEit Transfer データ盗難攻撃でハッカーが 800 万人から 1,100 万人の個人データを盗んだというデータ侵害の警告を公開しました。
• Maximus は、連邦および地方の医療プログラムや学生ローンの返済など、米国政府が後援するプログラムを管理および運営する請負業者です。 同社は従業員 34,300 人、年間売上高約 42 億 5,000 万ドルを擁し、米国、カナダ、オーストラリア、英国に拠点を置いています。

米証券取引委員会(SEC)が企業にサイバー攻撃を4日以内に開示するよう要求

• bleepingcomputerより
• 米証券取引委員会は、上場企業に対し、サイバー攻撃が重大なインシデントであると判断してから4営業日以内に開示することを義務付ける新たな規則を採用したそうです。
• ここでいう重大な事件とは、上場企業の株主が「投資決定を行う上で」重要だと考える事件のことだとの事です。
• SECはまた、サイバーセキュリティ侵害後に外国の民間発行会社に同等の開示を義務付ける新たな規制も導入したそうです。
• 新しい規則（PDF）はこちらになっています。全部で186ページあります。

2023/07/25

ノルウェー政府のシステムがIvanti MDMのゼロデイ脆弱性(CVE-2023-35078)を利用した攻撃を受ける

• bleepingcomputerより
• ノルウェー政府のシステムがサードパーティベンダのゼロデイ脆弱性を利用した攻撃を受けたようです。
• ゼロデイ脆弱性の詳細は現時点では不明です。12の省庁が使用する同国のICTプラットフォームがサイバー攻撃を受けた様です。
• （2023/07/26追記）bleepingcomputerによると、Ivanti MDMのゼロデイ脆弱性の様です。

2023/07/24

ClopランサムウェアグループがMOVEit脆弱性を狙った攻撃で取得した情報を公開開始。二重脅迫の模様

• bleepingcomputerより
• ClopランサムウェアグループがMOVEitの脆弱性を狙った攻撃を昨月から開始していました。US等でかなりの被害が出ていますが、こちらの攻撃で取得した情報を用いて脅迫を始めた模様です。
• 詳しい情報はbleepingcomputerの記事を確認してください。

2023/07/22

VirusTotalで情報漏えい。誤ってPremiumユーザのCSVをアップロード

• bleepingcomputerより
• VirusTotalのブログはこちら
• 「6月29日、従業員が誤って CSV ファイルを VirusTotal プラットフォームにアップロードしました。 この CSV ファイルには、Premiumアカウントに関する会社名、関連する VirusTotal グループ名、グループ管理者の電子メール アドレスが含まれていました。 私たちは、パートナーと企業顧客のみがアクセスできるこのファイルを、投稿から 1 時間以内に当社のプラットフォームから削除しました。何よりもまず、明確に言っておきたいのは、これはサイバー攻撃や VirusTotal の脆弱性の結果ではないということです。 これは人的ミスであり、悪意のある者は関与していませんでした。」との事です。
• あのVirusTotalなので、情報漏えいの影響は結構大きいようです。「流出した 313KB のファイルには、サイバー軍、司法省、連邦捜査局 (FBI)、国家安全保障局 (NSA) などの米国組織の詳細情報が含まれていました。さらに、このファイルには、ドイツ、オランダ、台湾、英国の政府機関に関連付けられたアカウントも含まれていました。」との事です。

2023/07/18

CISAが「クラウド環境用の無料ツール」のシートを作成。

• CISAのニュースより
• CISAは、クラウド環境に移行する企業が重要な資産の保護とデータ セキュリティに必要な適切なツールと技術を特定できるようにするため「クラウド環境用の無料ツール」のシートを作成して公開しました。
• JPCERTのツールも入っていますので、興味のある方は目を通したほうが良いと思います。

2023/07/16

コロラド州立大学がMOVEitの影響によるデータ侵害

• bleepingcomputerより
• 6月はMOVEitの脆弱性とそれを利用したClopランサムウェアグループによる攻撃が世間を賑わしました。
• コロラド州立大学 (CSU) も、このMOVEit脆弱性を悪用したClop ランサムウェアオペレーションによりデータ侵害を受けています。
• 大学は、2023 年 7 月 12 日に学生と職員に対し、Clopランサムウェアグループの攻撃により職員と学生の個人データがアクセスされたことを通知しました。
• 日本でのMOVEitの市場がどの程度かにも依存してきますが、まだまだ本脆弱性とClopランサムウェアグループによる被害は世間を賑わしそうです。

2023/07/13

ドイツ銀行がプロバイダのデータ侵害により顧客情報流出

• bleepingcomputerより
• ドイツ銀行がプロバイダのデータ侵害により顧客情報流出にいたった模様です。
• これはおそらくMOVEit の脆弱性を利用した攻撃が影響しているとのことです。

名古屋港がランサムウェア被害に。物流への影響も

• 2023/07/05に名古屋港統一ターミナルシステム（NUTS / Nagoya United Terminal System）でシステム障害が発生しました。こちらの障害はランサムウェアによる被害であったということが発表されています。
• 本件に関しては日本のニュースがかなり取り上げているので、色々なニュースソースから情報がつかめると思います。
• ランサムウェアは「LockBit」が関係しているとも推定されていますが、現時点でははっきりした情報は出ていません。

TwitterのSPAMボットが悪化している

• bleepingcomputerより
• TwitterのSPAMボットがどんどんひどくなっている様です。今は一時期よりもSPAMがよくくるようになっています。
• bleepingcomputerの記事ではポルノ系のSPAMについて実例を見せていますので参考にしてください。