2023Q4 サイバー攻撃関連

ここでは実際に2023Q4に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

2023Q3サイバー攻撃関連トピックはこちら

2023Q2サイバー攻撃関連トピックはこちら

2023Q1サイバー攻撃関連トピックはこちら

2023/12/09

Nortonヘルスケア、5月のランサムウェア攻撃後のデータ侵害を明らかに

• bleepingcomputerより
• ケンタッキー州の医療システムであるノートン ヘルスケアは、5 月のランサムウェア攻撃により、患者、従業員、扶養家族の個人情報が流出したことを認めたとのことです。

2023/12/08

日産、豪ＮＺでサイバー被害

• 時事ドットコムより
• 日産自動車は７日、オーストラリアとニュージーランド（ＮＺ）での事業でサイバー攻撃の被害に遭ったと発表しています。詳しい被害状況は「調査中」との事です。
• 続報が入り次第更新します。

HTCグローバルサービスがサイバー攻撃によるデータ漏洩を認める

• bleepingcomputerより
• HTC Global Services は、ヘルスケア、自動車、製造、金融業界にテクノロジーとビジネス サービスを提供するマネージド サービス プロバイダーです。
• HTC Global ServiceがALPHVランサムウェアグループによる被害を受け、データが漏洩したことを認めているそうです。
• 流出したデータには、攻撃中に盗まれたとされるパスポート、連絡先リスト、電子メール、機密文書などが含まれている模様です。

eコマースや会計などのSaaS提供のTipalti、ALPHVランサムウェアグループによる被害を調査開始

• bleepingcomputerより
• 会計、支払い処理、e コマース、アフィリエイトおよびインフルエンサー プログラムのためのテクノロジー ソリューションを提供しているTipaltiがALPHVランサムウェアグループによる被害を調査しているとのことです。
• 調査結果は未だ出ていない模様です。

偽の脆弱性「CVE-2023-45124」を修正するというWordpressの更新を装った攻撃に注意

• bleepingcomputerより
• WordPress 管理者にCVE-2023-45124 として追跡される架空の脆弱性に関する、偽の WordPress セキュリティ アドバイザリが電子メールで送信されていたとのことです。
• この電子メールは WordPress からのものを装い、プラットフォームに新たな重大なリモート コード実行 (RCE) の欠陥が管理者のサイトで検出されたことを警告し、セキュリティ問題に対処するとされるプラグインをダウンロードしてインストールするよう促すとの事です。気をつけましょう。

「AeroBlade」と呼ばれるハッカーが米国の航空宇宙部門を標的に

• bleepingcomputerより
• 「AeroBlade」という新しいハッカーグループが、米国の航空宇宙分野の組織を標的としていたことが判明しました。
• 2022 年 9 月と 2023 年 7 月のより高度な攻撃の 2 段階で展開されていたとBlackBerry解析されています。
• この攻撃ではスピア フィッシングが使用されていたようです。
• BlackBerryの資料はこちらになります。

2023/11/29

ヘルスケア大手ヘンリー・シャインがBlackCatランサムウェアに2度襲われる

• bleepingcomputerより
• アメリカのヘルスケア企業ヘンリー・シャインは、10月・11月と「BlackCat/ALPHV」による2度のサイバー攻撃を受けたと報告しています。

2023/11/23

カンザス州裁判所がサイバー攻撃によるデータ侵害を認める

• bleepingcomputerより
• カンザス州司法局が10月に発生したサイバー攻撃に関する情報を発表しました。これによると、同司法局のシステムから機密情報を含む機密ファイルが盗まれたとの事です。
• 更にランサムウェアグループから身代金要求の脅迫も届いているとのことで、どうやらランサムウェア被害に遭った模様です。

ヘルスケア事業のWelltok社がデータ侵害に遭い、米国の患者850万人のデータが流出

• bleepingcomputerより
• ヘルスケアSaaSのWelltok社は、同社が使用していたファイル転送プログラムが攻撃にあい、米国で約850万人の患者の個人データが流出したと警告しています。
• どうやらMOVEitの脆弱性をつかれた模様です。

Lazarus(ZINC)グループが台湾のCyberLink社に侵入。サプライチェーン攻撃目的か

• bleepingcomputerより
• Lazarus(ZINC)が台湾のマルチメディア ソフトウェア会社サイバーリンクに侵入し、そのインストーラーの1つをトロイの木馬化して、サプライ チェーン攻撃を試みたとMicrosoft社が発表しています。
• Microsoft社のブログはこちらになります。

OSSのBlenderプロジェクトがDDoS攻撃の対象に

• bleepingcomputerより
• OSSのBlenderプロジェクトが土曜日からDDoS攻撃を受けていることを明らかにしました。

2023/11/22

CISA/FBIがLockBitグループによる「Citrix Bleed（CVE-2023-4966）」脆弱性悪用について注意喚起

• CISA/FBIのStopRansomwareより
• CISA/FBIがStopRansomwareキャンペーンの一環で、LockBitグループによる「Citrix Bleed(CVE-2023-4966)」の悪用について注意喚起を行っています。
• IoC/TTPも載っていますので、参考にしましょう。

ハクティビストが米国の核研究所に到達しデータを盗む

• bleepingcomputerより
• アイダホ国立研究所（アメリカ合衆国エネルギー省傘下）は、「SiegedSec」ハクティビストによる攻撃で人事データが流出したことを認めたようです。
• こちらのニュースにインタビューがあります。

カナダ政府の請負業者がデータ流出

• bleepingcomputerより
• カナダ政府の請負業者が攻撃を受け、カナダ王立騎馬警察 (RCMP) のメンバー、カナダ軍関係者、カナダ政府職員等の個人情報が漏洩した模様です。

2023/11/18

YAMAHA発動機フィリピン子会社サーバへの不正アクセス

• YAMAHAのプレスリリースより
• ヤマハ発動機株式会社は、フィリピンの二輪車製造・販売子会社であるヤマハモーターフィリピン社（YMPH）が管理するサーバーの1台に不正アクセスがあったことを発表しました。ランサムウェア攻撃を受け、同社が保管していた従業員の個人情報の一部流出が確認されたとの事です。

2023/11/17

FBI・CISAがScattered Spiderグループの詳細を公開

• CISAのアドバイザリより
• CISA・FBIがScattered Spider Groupに関するアドバイザリを出しています。
• TTP/IoC等が載っていますので、参考にしてください。

TOYOTA Finance ServiceがMedusaランサムウェアの被害に遭う

• bleepingcomputerより
• TOYOTA Finance ServiceがMedusaランサムウェアの被害に遭い、ヨーロッパ・アフリカのシステムに不正にアクセスされた事がわかりました。
• Citrix Bleedの悪用の可能性も有るとのことです。Citrixを使用している会社は気をつけましょう。

2023/11/16

Samsungがデータ侵害に会い、英国の顧客に影響

• bleepingcomputerより
• Samsungが11/13にサードパーティの脆弱性を悪用したデータ侵害を発見しました。
• サイバー攻撃の影響を受けたのは、2019年7月1日から2020年6月30日までにSamsung UKのオンラインストアから購入した顧客のみだったとされています。

Tronto公共図書館がランサムウェ被害を公表

• bleepingcomputerより
• Tronto公共図書館（Tronto Public Library）がランサムウェア被害を公表した様です。

FBI・CISAがRhysida Ransomwareグループに関しての注意喚起

• CISAのニュースより
• FBI・CISAがStopRansomwareの動きの一環として、Rhysida Ransomwareに関しての情報と注意喚起を出しています。
• IoCやTTPも載っていますので参考にしましょう。

2023/11/15

LockBitランサムウェアグループがCitrix Bleed（CVE-2023-4966）を悪用

• bleepingcomputerより
• LockBitランサムウェアグループが、今度はCitrix Bleed (CVE-2023-4966)を悪用している様です。
• 研究者によると、直近のボーイング社や中国工商銀行も、Citrix Bleedを経由して攻撃された可能性があるとのことです。

2023/11/13

LockBitがボーイング社のデータリークを開始

• bleepingcomputerより
• 11/10に、LockBitがボーイング社から盗み出したデータのリークを開始した様です。
• ボーイング社のインシデントは、10/27に発生した様です。
• 詳しい情報はまた纏める予定です。

2023/11/11

ScreenConnect ツール経由で医療組織に侵入

• bleepingcomputerより
• 脅威アクターがScreenConnectツールを悪用して米国の複数の医療機関を標的にしているとの警告が出ています。
• Huntress の研究者が、2 つの異なる医療機関のエンドポイント上での攻撃を確認し、攻撃のエスカレーションに備えたネットワーク偵察を示す活動があったと報告しています。

2023/11/10

Kyocera AVXがLockBitグループの攻撃に遭っていた模様

• bleepingcomputerより
• Kyocera AVX（京セラの米国子会社）が2023年3月にLockBitランサムウェアグループの被害に遭っていた模様です。
• 2023年2月16日から3月30日までの間にハッカーが同社のシステムにアクセスしたことを2023年10月10日に発見したとのことです。
• LockBitランサムウェアグループは、2023 年 5 月 26 日に KAVX をデータ漏洩サイトに追加して脅迫を行っていたとのことです。

中国工商銀行がランサムウェア被害に

• bleepingcomputerより
• 中国工商銀行（Industrial & Commercial Bank of China : ICBC）がランサムウェア被害に遭い、復旧に努めている様です。
• 「ICBCは現在DTCC/NSCCに接続できません。この問題はICBCの清算顧客すべてに影響を及ぼしています」との報告が入っています。
• 米国財務省報道官のコメントはブルームバーグで共有されている様ですが、「引き続き状況を監視している」というものになっています。

2023/11/09

セキュリティベンダーのSUMOロジックがセキュリティ侵害を明らかに

• bleepingcomputerより
• セキュリティベンダーのSUMOロジックが11/03にAWSアカウントが侵害されたと明らかにしました。
• SUMOでは、APIキーの再作成を推奨しています。

ランサムウェアグループがカジノのサードパーティゲームベンダーを経由してハッキングを実施。FBIが警告

• bleepingcomputerより
• カジノに納入されているゲーム機器のベンダー経由での攻撃です。いわゆるサプライチェーンリスクになります。

ロシアの銀行Sberbankが大規模DDoSの被害を受ける

• bleepingcomputerより
• ロシアの金融機関ズベルバンクはプレスリリースで、2週間前に今まで最大規模のDDoSを受けたと報告した様です。
• 攻撃は1秒あたり100万リクエスト（RPS）に達した模様です。

2023/11/08

5種類のランサムウェアと関連する脅威アクター「farnetwork」

• Group-IBのブログより
• Group-IB の 脅威インテリジェンスチームが、farnetworkに関する調査結果を纏めています。
• 調査によると、farnetworkはJSWORM 、 Nefilim、Karma 、 Nemt、Nokoyaなどのランサムウェアを使い分けて攻撃を行っている様です。
• 詳しいレポートはGroup-IBのブログで見ることが出来ます。

2023/11/04

Okta がサードパーティのデータ侵害に見舞われ従業員情報が流出

• bleepingcomputerより
• Oktaがサードパーティベンダーが侵害されたことで個人情報が流出したとの事です。約5,000人の現従業員と元従業員に警告を出しているとのこと。
• 2023 年 9 月 23 日にRightwayが侵害されたことが原因のようです。

MicrosoftがOcto Tempestとして追跡しているランサムウェアグループに関する情報を公開

• Microsoft Security Blogより
• Microsoft は、金銭を目的とした攻撃者 Octo Tempest に関連する活動を追跡しています。
• SIMスワッピング攻撃やソーシャルエンジニアリングから、中間者攻撃等色々な技術を駆使していたグループですが、2023年半ばにALPHV/BlackCatとも関連するようになったとのことです。
• TTP/IoC等が載っていますので、是非確認してください。

SEIKOがBlack Catランサムウェアによる被害の情報を更新

• セイコーグループのニュースより
• 時計で有名なセイコーですが、7月にあったランサムウェアによる被害の情報詳細を更新しています。
• 2023 年 7 月 28 日に異常を検知して調査を行い、被害を確認。約60,000件の個人情報が漏洩していたとのことです。
• 漏洩した情報は以下になります。
  • 顧客の氏名、住所、電話番号、メールアドレス等（クレジットカード情報は含まれてないとのこと）
  • 取引先ご担当者の氏名、会社名、役職名、会社住所、会社電話番号、会社メールアドレス等
  • 採用応募者の氏名、住所、電話番号、メールアドレス、学歴等
  • 従業員及び退職者の氏名、人事情報、メールアドレス等
• 詳しい情報は、SEIKOのニュースを見てください。

2023/10/24

一週間ほど夏休みを頂いておりました為、久しぶりの更新です。

1Passwordがセキュリティインシデント。Oktaに関係か

• bleepingcomputerより
• 1Passwordでセキュリティインシデントが発生しました。「サポート システム インシデントに関連する不審なアクティビティを Okta インスタンス上で検出しました。徹底した調査の結果、1Password ユーザー データにはアクセスされていないと結論付けました」との事です。
• 「9 月 29 日に、従業員向けアプリの管理に使用している Okta インスタンスで不審なアクティビティを検出しました。」ともあり、Oktaのインシデントと関係があるかもしれません。
• 1Passwordのレポートはこちらになります。

保険大手のアメリカン・ファミリー・インシュアランスがサイバー攻撃を受けWebサイトを停止

• bleepingcomputerより
• 保険大手のアメリカン・ファミリー・インシュアランスは今週、サイバー攻撃を受けた結果、ITシステムの一部を停止したことを認めました。
• 「今週、American Family Insuranceの技術チームは当社のネットワークの一部で異常なアクティビティを検出しました。当社はデータとリソースを保護するための予防措置を迅速に講じ、いくつかのビジネスシステムを停止しました」との事です。

Okta、盗まれた認証情報を使用してサポートシステムが侵害されたと発表

• bleepingcomputerより
• Oktaによると、攻撃者は盗んだ認証情報を使用してサポート管理システムに侵入し、顧客がアップロードしたCookieとセッショントークンを含むファイルにアクセスしたという話です。
• 「Okta サポート ケース管理システムは、本番環境の Okta サービスとは別のものであり、完全に稼働しており、影響を受けていないことに注意してください。」とも付け加えられています。
• 詳しくはこちらのOkta社のブログを見ましょう。

Punyコードが悪用され、偽のKeePassサイトの広告がGoogleに表示される

• MalwareBytesのブログより
• Punycode を使用して KeePass パスワード マネージャーの公式ドメインとして見せかけられた偽の KeePass ダウンロード サイトがGoogle広告によりプッシュされていることが判明しました。
• 画像等がMalwareBytesのブログに載っていますので確認しましょう。

カシオ 個人情報12万件余流出 学習用アプリに不正アクセス受け

• NHKより
• カシオ計算機は、高校などで利用されている学習用アプリのデータベースに不正アクセスがあり、12万件余りの個人情報が流出したと発表しました。 発表によりますと、流出したのは全国およそ240の小中学校や高校などで使われ、個人でも利用できる学習用アプリ「ClassPad. net」に登録されている国内外の利用者の氏名やメールアドレス、学校名、学年、出席番号など、12万件余りです。

全米の整形外科クリニックを標的にしたフィッシング等の攻撃に関してFBIが警告

• bleepingcomputerより
• FBIは、サイバー犯罪者がなりすましの電子メールや電話番号を使用して、マルウェアを拡散させるフィッシング攻撃で全米の整形外科クリニックを標的にして恐喝を行っていると警告しています。
• FBIのリンクはこちらになります。

女性政治指導者サミットがRomComマルウェアフィッシングの標的に

bleepingcomputerより

RomCom バックドアの新しい亜種が、ブリュッセルで開催された女性政治指導者 (WPL) サミットの参加者を標的として拡散された様です。

TrendMicroのブログにIoC等の情報が乗っていますので参考にしましょう。

カンザス州司法府が「セキュリティインシデント」を受けてITシステムがオフラインになっている

• bleepingcomputerより
• カンザス州司法府が先週木曜日に「セキュリティインシデント」が発生した後、カンザス州各地の州裁判所の情報システムは依然としてオフラインになっている様です。
• 攻撃者はALPHVランサムウェアグループの模様です。

2023/10/12

LinkedIn Smart Link 攻撃が再燃。Microsoft アカウントを標的に

• bleepingcomputerより
• Smart Links は LinkedIn の Sales Navigator サービスの一部で、マーケティングと追跡に使用され、ビジネス アカウントが追跡可能なリンクを使用してコンテンツを電子メールで送信し、コンテンツに関与したユーザーを特定できるようになります。
• Smart Link は LinkedIn のドメインとそれに続く 8 文字のコード パラメーターを使用するため、信頼できるソースから発信されているように見え、電子メール保護をバイパスします。
• 攻撃の詳細はCyberintの記事に詳しく載っています。

スペインの航空会社「Air Europe」で情報流出

• bleepingcomputerより
• スペインの航空会社エア・ヨーロッパは、データ侵害で攻撃者がカード情報にアクセスしたことを受け、顧客に対しクレジットカードをキャンセルするよう警告したそうです。
• 影響を受ける顧客の数は依然として不明との事です。

2023/10/10

ALPHVランサムウェアグループがフロリダ裁判所への攻撃を認める

• bleepingcomputerより
• ALPHV (BlackCat) ランサムウェア ギャングが先週のフロリダ州の裁判所 (第一司法巡回裁判所) に影響を与えた攻撃を主張しています。攻撃者は裁判官を含む従業員の社会保障番号や履歴書などの個人情報を入手している様です。

2023/10/06

SonyがUSでのデータ漏洩を認める。

• bleepingcomputerより
• SonyがUSでのデータ漏洩を認めた模様です。
• MOVEit ゼロデイ脆弱性を悪用して侵入が発生した模様です。Sonyからの詳しい情報が出たらまた更新します。

2023/10/05

Pythonパッケージに含まれていた不審なコードに関する調査をCheckmarxが報告

• checkmarxのブログより
• 2023年4月の初旬からCheckmarx社が追跡している悪意の有る攻撃グループが、さまざまなユーザー名を介して数百の悪意のあるPythonパッケージを展開しているようです。ダウンロード件数は75,000を超えている様です。
• Python等のパッケージを悪用したサプライチェーン攻撃に注意しましょう。

2023/10/03

MotelOneグループがBlackCatランサムウェアグループによる被害で個人情報が流出

• bleepingcomputerより
• ヨーロッパやアメリカの低予算ホテルチェーンであるMotelOneグループがランサムウェア被害に遭い、150枚のクレジットカード情報を含む個人情報が流出したと発表しています。
• BlackCatランサムウェアグループが2023 年 9 月 30 日にダークウェブ上の恐喝サイトに Motel One を追加し、約 2,450 万個、合計サイズ 6 TB のファイルを盗んだと主張しています。

FBIが高齢者を対象とした「ファントムハッカー」詐欺の急増を警告

• https://www.ic3.gov/Media/Y2023/PSA230929
• FBIは、最近「ファントムハッカー」詐欺が全国的に増加しており、高齢者に大きな影響を与えていると米国民に警告しています。 このファントム ハッカー詐欺は一般的な技術サポート詐欺が進化したもので、技術サポート、金融機関、政府のペルソナを使い分けることによって被害者が詐欺グループを信頼するようにしていくものです。
• 詐欺は以下のようなフェーズに分かれています。詳しい情報は、FBIのリンクを参照してください。
  • フェーズ 1 – 技術サポート詐欺師
  • フェーズ 2 – 金融機関の詐欺師
  • フェーズ 3 – 米国政府の詐欺師