2024Q1 サイバー攻撃関連

ここでは実際に2023Q4に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

2023Q4サイバー攻撃関連トピックはこちら

2024/03/29

DarculaというPhising as a ServiceがAndroid/iPhoneを対象に

• bleepingcomputerより
• 「Darcula」という名前の新しいサービスとしてのフィッシング（PhaaS）が、20,000 のドメインを使用してブランドになりすまし、100 か国以上の Android および iPhone ユーザーから認証情報を盗むそうです。 Darculaは200 以上のテンプレートから選択でき、攻撃者は郵便、金融、政府、税務部門から通信会社、航空会社、公益事業に至るまで、さまざまなサービスや組織を対象に攻撃を行っている様です。

2024/03/21

富士通が複数のパソコンでマルウェア感染を発見

• 富士通のサイトより
• 富士通の複数の業務パソコンでマルウェアの存在を確認し、社内調査の結果、個人情報やお客様に関する情報を含むファイルを不正に持ち出すことができる状態になっていたことが判明したとのことです。現時点で個人情報やお客様に関する情報が悪用されたという報告は受けていないとのことです。

2024/03/14

LockBitランサムウェアアフィリエイターが懲役4年と86万ドルの罰金に

• bleepingcomputerより
• LockBitランサムウェア作戦への関与したロシア系カナダ人のミハイル・ワシリエフが、オンタリオ州の裁判所から懲役4年の判決と、カナダの犠牲者への賠償金として86万ドルを支払うよう命じられたそうです。

米国保健省公民権局がヘルスケアサイバー攻撃に関する調査を開始

• U.S. Department of Health and Human Servicesの発表より
• 米国保健福祉省公民権局 (OCR) は、ユナイテッドヘルスケア グループ (UHG) の一部門であるチェンジ ヘルスケアおよび他の多くの医療事業体に影響を与えたサイバーセキュリティ事件について言及する書簡を発行し、サイバー攻撃に関する調査を開始しました。

2024/03/08

CISA/NSAがクラウドサービスのセキュリティベストプラクティスを公開

• CISAのアドバイザリより
• CISA と NSA がクラウド セキュリティのベスト プラクティスに関するサイバーセキュリティ情報シートをリリースしました。

2023年のインターネット犯罪報告書が公開

• IC3(Internet Crime Complaint Center)より
• 2023年のインターネット犯罪報告書が公開されています。

2024/03/07

TA4903が米国の政府機関になりすましてビジネス電子メール(BEC)攻撃を行う

• Proofpointのブログより
• こちらはどこかで別記事にしたいと思います。

ビール会社の「Duvel」がランサムウェア攻撃に

• bleepingcomputerより
• 日本でも有名なビール会社の「Duvel」がランサムウェア攻撃に遭った様です。
• ファンからの声もredditに上がっています。

NSAがゼロトラストガイダンスを公開

• NSAのPDFはこちら
• NSAがゼロトラストガイダンスを出しています。

ハッカーがQEMUをコバートチャネルとして使用している

• bleepingcomputerより
• サイバー攻撃で、オープンソースのハイパーバイザー プラットフォーム QEMU をトンネリング ツールとして悪用する悪意のある攻撃者が検出された様です。
• 元記事はこちらになる様です。

2024/03/05

TA557がフィッシングを利用してNTLMハッシュを盗む

• bleepincomputerより
• Black Bastaランサムウェアグループと結び付けられていたIAB(初期ブローカー)のTA557が、フィッシングを利用してNTLMハッシュを盗んでいる様です。

北朝鮮が韓国の半導体企業2社をハッキング

• bleepingcomputerより
• 韓国の国家情報院（NIS）が、北朝鮮により国内の半導体メーカーが狙われていると警告しました。

アメリカン・エキスプレスがデータ漏洩被害

• bleepingcomputerより
• アメリカン・エキスプレスカード(AMEX)で幾つかのアカウントがデータ漏洩（第三社経由）の被害に遭った模様です(公式の通知は公開されていません)。AMEXのアカウント番号／名前／カードの有効期限が漏洩した模様です。 データ侵害があった場合にはAMEXから連絡が来ますので、AMEXからの通知には十分注意しましょう。

2024/03/03

ニュースファームがBBC・CNN等の主要報道機関になりすまし

• bleepingcomputerより
• BleepingComputerが、BBC、CNBC、CNN、フォーブス、ハフィントン ポスト、ロイター、ガーディアン、ワシントン ポストなどの人気メディアの名前にちなんで名付けられた約 60 以上のドメインを運用しているコンテンツ ファームを発見した様です。
• フェイクニュースや詐欺などの発信に使われる可能性もあるので気をつけたいところです。ドメインのリストはbleepingcomputerの記事に載っています。

Oktaフィッシング攻撃でFCC職員を攻撃

• bleepingcomputerより
• CryptoChameleon という名前の新しいフィッシング キットが、オリジナルと非常によく似た Okta 用に特別に作成されたシングル サインオン (SSO) ページを使用して、連邦通信委員会 (FCC) の職員をターゲットにするために使用されているそうです。

2024/02/29

脅威アクター「Savvy Seahorse」がDNS CNAMEを用いて投資家詐欺を行う

• bleepingcomputerより
• Savvy Seahorse という名前の攻撃者が、CNAME DNS レコードのDNSを悪用して、金融詐欺キャンペーンを推進するトラフィック分散システムを作成している様です。手口も元記事に載っているので参考にしてください。こちらもどこかで別記事にしたいと思います。

FBI・CISAが米国の病院関係へのBlackCatによる攻撃でAdvisoryを

• CISAのアドバイザリより
• CISA、FBI、HHS が ALPHV Blackcat に関する #StopRansomware Advisory のアップデートをリリースしています。こちらもどこかで別記事にしたいと思います。
• UnitedHealth Group(UHG)への攻撃では6TBのデータを盗み出したと主張している様です。

Phishing As A Serviceの「LabHost」によりカナダの金融機関が攻撃に

• bleepingcomputerより
• Phishing As A Serviceの話は面白そうなので、どこかで別記事にしたいと思います。

Black Basta ランサムウェアグループがScreenConnectの脆弱性（CVE-2024-1709）を悪用

• bleepingcomputerより
• BlackBastaランサムウェアグループが、ScreenConnectの脆弱性（CVE-2024-1709）を悪用している様です。

ドイツのヘッセン州消費者センターがランサムウェア被害に

• bleepingcomputerより
• ドイツのヘッセン州消費者センターが2/22にランサムウェア攻撃を受け、IT システムをシャットダウンしたそうです。
• 攻撃を行ったのはBlackcat/ALPHV ランサムウェア ギャングで、ヘッセン州消費者センターへの攻撃を主張し、ダークウェブ上の恐喝ページでデータ サンプルを公開したそうです。

2024/02/27

UnitedHealth子会社のOptumのハッキングがBlackCatランサムウェアグループに紐付けられる

• bleepingcomputerより
• 2024/02/21に発生したOptumのハッキングが、捜査に詳しい情報筋によってBlackCatランサムウェアグループに関連付けられているという事です。
• 今回のインシデントに関するOptumの報告ページはこちらになります。

2024/02/23

LockBitランサムウェアグループが逮捕前に次世代のLockBit-NG-Devを密かに構築

• bleepingcomputerより
• LockBitランサムウェアの開発者らは、LockBit-NG-Dev と呼ばれるファイル暗号化マルウェアの新バージョンを密かに構築していました。今週初めの法務執行官による摘発によりわかった様です。

2024/02/21

ドイツのPSIソフトウェアがランサムウェア攻撃に

• bleepingcomputerより
• ドイツのPSIソフトウェア（生産および物流プロセス向けのソフトウェアを提供）が2/15にランサムウェア攻撃に遭った様です。攻撃したランサムウェアグループは未だ特定されていません。

LockBitランサムウェアグループが逮捕

• bleepingcomputerより
• 国際的な取り締まり活動が現在行われており、ポーランドとウクライナでランサムウェアグループ「LockBit」の運営者2人を逮捕し、暗号化されたファイルを無料で回復する復号化ツールを作成し、200以上の仮想通貨ウォレットを押収したとの事です。

024/02/17

ホームセキュリティカメラのWyzeで障害発生

• bleepingcomputerより
• ホームセキュリティカメラのWyzeで障害が発生している模様です。原因は現在調査中とのこと。
• Wyzeのサイトはこちらになります。

2024/02/15

プルデンシャル・ファイナンシャルがサイバー攻撃で侵害される

• bleepingcomputerより
• プルデンシャルファイナンスが、2/4にサイバー攻撃を受け2/5に検出したことを米国証券取引委員会に報告したそうです。
• 2/17追記）ALPHVランサムウェアグループが攻撃を主張しているという情報が出ています。

トランス・ノーザン・パイプライン、ALPHV ランサムウェアによる攻撃か

• bleepingcomputerより
• Trans-Northern Pipelines (TNPI) は、202 年11月にALPHV/BlackCat ランサムウェア集団により内部ネットワークが侵害されたことを認め、調査を行っている様です。

2024/02/13

Infosys Mccamish Systemsがデータ侵害に。LockBitによる攻撃か

• bleepingcomputerより
• 2023/11/03に、Infosys Mccamish Systems(IMS)という会社がデータ侵害にあった模様です。LockBitが犯行を主張しているとのこと。
• Bank of AmericaでIMSのシステムを使用しているらしく、二次被害が広がっている模様です。
• 「2023年11月24日、IMSはBank of Americaに対し、Bank of Americaが提供する繰延報酬プランに関するデータが侵害された可能性があると伝えた。Bank of Americaのシステムは侵害されていなかった。」との事です。

ランサムウェア攻撃によりルーマニアの21の病院が閉鎖に追い込まれる

• bleepingcomputerより
• ルーマニアの少なくとも 21 の病院が、2024/02/11から2024/02/12までのランサムウェア攻撃により医療管理システムがダウンしオフラインになりました。
• ルーマニア国家サイバーセキュリティ総局（DNSC）は、攻撃者が病院のデータを暗号化するためにPhobosファミリーのランサムウェア亜種であるBackmydataランサムウェアを使用したと発表しています。

2024/02/09

ヒュンダイモーターズヨーロッパがBlackBastaランサムウェアによる攻撃を受ける

• bleepingcomputerより
• ヒュンダイ・モーター・ヨーロッパが1月初旬Black Bastaランサムウェア攻撃を受けた様です。3テラバイトの企業データを盗んだと攻撃者側は主張している様です。

偽のLastPassアプリケーションLassPassがAppStoreに。

• bleepingcomputerより
• LastPassは、同社のアプリの偽コピーがApple App Storeで配布されており、ユーザーの認証情報を盗むフィッシングアプリとして使用されている可能性があると警告しています。

2024/02/07

フランスの医療サービス会社でデータ侵害

• bleepingcomputerより
• フランスの医療サービス会社Viamedisがサイバー攻撃を受け、国内の保険契約者や医療従事者のデータが流出したとの事です。
• ViamedisのプレスリリースはLinkedIn上にあります。

「ResumeLooters」によるデータ侵害で200 万人を超える求職者の個人データが盗難

• bleepingcomputerより
• 「ResumeLooters」という名前の脅威グループが、SQL インジェクションとクロスサイト スクリプティング (XSS) 攻撃を使用して 65 の正規の求人サイトと小売サイトを侵害し、200 万人を超える求職者の個人データを盗んだ模様です。
• 被害はAPACらしく、オーストラリア、台湾、中国、タイ、インド、ベトナムの模様です。日本は今の所含まれていない模様です。

Verizonが内部関係者によるデータ侵害。従業員63,000人以上の情報が漏洩

• bleepingcomputerより
• Verizon Communications は、内部関係者によるデータ侵害が従業員のほぼ半数に影響を及ぼし、従業員の機密情報が漏洩したと警告しています。
• Bleepingcomputerの記事によると「Verizon 従業員に関する特定の個人情報を含むファイルを不適切に扱っていたことを発見しました」との事です。続報はまた載せていきます。

2024/02/03

Lurie小児科病院がサイバー攻撃を受け、システムがオフラインに

• bleepingcomputerより
• Lurie小児科病院が、2/1にサイバー攻撃を受けてシステムがオフラインになったようです。
• 地元メディアの報道はこちらになります。

Okta攻撃で盗まれた認証トークンを使用してCloudflareがハッキングされる

• bleepingcomputerより
• Cloudflareは2/1、同社のConfluence wiki, Jira DB, Bitbucketにアクセスした「Nation State Attacker(国家が背後にいる攻撃者)」と思われる人物によって、社内のAtlassianサーバが侵害されたことを明らかにしました。
• 攻撃はサンクスギビングデー（2023/11/23）に行われた様です。2023年10月に発生したOktaの侵害から派生して今回のインシデントにつながっている様です。
• CloudFlareのブログに詳細情報が載っています。こちらも、別の記事で詳細を書く予定です。

CISAが米国連邦政府機関に対し、脆弱性のあるIvanti Connect Secure・Policy Secure VPNアプライアンスを土曜日までに切断するよう命令

• CISAのDirective（指令）より
• CISAが、できるだけ早く、遅くとも 2024 年 2 月 2 日金曜日の午後 11 時 59 分までに、Ivanti Connect Secure および Ivanti Policy Secure ソリューション製品のすべてのインスタンスを政府機関のネットワークから切断して脆弱性に対応するように求めています。
• この動きは、別の記事で書く予定です。

2024/02/01

カーレンタルのEuropcarがデータ侵害を否定。データは偽物だと主張

• bleepingcomputerより
• レンタカー会社のEuropcarが、現在脅威アクターが5,000万人の顧客の個人情報を販売しているとの主張を受けて、同社はデータ侵害を受けておらず、共有された顧客データは偽物であると述べているそうです。

CISAがVolt Typhoonの攻撃に備えてSOHO用ルータの安全性を保つようにとベンダにガイドラインを出す

• CISA Advisoryより
• 中国が背後にいるとされているVolt Typhoonの攻撃に備えて、CISAがSOHOルータのベンダにセキュリティのガイドラインを出しています。
• FBIがVolt Typhoonのボットネットに対して攻撃を行ったというニュースも入っているので、一連の流れと思われます。
• こちらに一連の流れの纏め（日本語）が載っています。

Mercedes-Benzのソースコードが危険にさらされる: GitHub トークンの事故により重大なセキュリティ上の懸念

• RedHunt Labsのブログより
• 「Mercedez のフルタイム従業員によって GitHub リポジトリ内で漏洩された GitHub トークンを特定したインターネット スキャン中に始まりました。 GitHub トークンにより、内部 GitHub Enterprise Server でホストされているソース コード全体への「無制限」かつ「監視されない」アクセスが可能になりました」とのことです。
• GitHubは便利な反面、気をつけないと漏洩に繋がるため、企業でも確認をしたほうが良いと思われます。

2024/01/30

エネルギー大手のシュナイダーエレクトリックがCactusランサムウェア攻撃を受ける

• bleepingcomputerより
• エネルギー管理・オートメーション大手シュナイダーエレクトリックがCactusランサムウェア攻撃によりデータ侵害を受けたとのことです。

カンザスシティの公共交通機関がMedusaランサムウェアの被害に

• bleepingcomputerより
• カンザスシティ地域交通局 (KCATA) は、1 月 23 日火曜日にMedusaランサムウェア攻撃の標的になったと公表しました。
• ランサムウェア攻撃を受け、すべての通信システムに影響が及んだそうです。

アメリカの水道サービスVeoliaがランサムウェア被害に

• bleepingcomputerより
• Veolia の子会社である Veolia North America は、市営水道部門の一部のシステムに影響を与えたランサムウェア攻撃を明らかにしました。
• 攻撃を検知した後、Veolia は防御措置を講じ、侵害を阻止するために一部のシステムを一時的にオフラインにしたそうです。
• Veoliaの発表はこちらになります。
• Veoliaは現在、インシデントについて調査中とのことです。

2024/01/21

ロシアのハッカー、1か月にわたる侵害でマイクロソフト社の電子メールを盗む

• Microsoftのサイトより
• Nobelium(APT29)がパスワードスプレー（ブルートフォースアタック）により同社の企業電子メールアカウントの一部が侵害されたとMicrosoft社が報告しています。

2024/01/19

ハイアールを狙った攻撃

• bleepingcomputerより
• 家電大手ハイアールが、スマートコントロールアプリ「hOn」のホームアシスタント統合用プラグインを管理しているドイツのソフトウェア開発者アンドレ・バシェ氏に対して、GitHubプラットフォームからツールを即時削除するよう求める法的脅迫を受けたとの事です。

脆弱なDockerを狙う攻撃

• Cado Security Labsのブログより
• Cado Security Labs の研究者が、脆弱なDockerサービスを標的とした新たなキャンペーンを観察したそうです。このキャンペーンでは、通常の XMRig マイナーと 9hits ビューア アプリケーションの 2 つのコンテナを脆弱なインスタンスにデプロイしているそうです。
• 詳しい情報はCado Security Labsのブログを参考にしてください。

2024/01/18

イランのAPT35がMediaPlマルウェアで研究者を標的に

• Microsoftのブログより
• 2023年11月以降、イランの「イスラム革命防衛隊 (IRGC)」 に関連する脅威アクターであるAPT35が、ベルギー・フランス・ガザ・イスラエル・英国・米国の大学や研究機関で中東問題に取り組む著名な個人をターゲットにしてフィッシングメールを送信している様です。
• このキャンペーンでは、MediaPl と呼ばれる新しいカスタムバックドアが使用されている様です。
• 詳しい情報はMicrosoftのサイトを確認してください。

2024/01/12

フィンランドがNAS等バックアップに対するAkiraランサムウェアの活動活発化を警告

• bleepingcomputerより
• フィンランドの国立サイバーセキュリティ センター (NCSC-FI)が、12 月に国内の企業を標的にしてバックアップを消去する Akira ランサムウェアの活動が増加していることを通知しています。
• 「バックアップによく使用されるネットワーク接続ストレージ (NAS) デバイスや自動テープ バックアップ デバイスが侵入されて空にされており、私たちが知っているほとんどすべてのケースで、すべてのバックアップが失われました」と政府機関は報告しています。

2024/01/11

フィデリティ・ナショナル・フィナンシャル（FNF）が11月にサイバー攻撃に遭い130万人の顧客のデータが流出

• bleepingcomputerより
• フィデリティ・ナショナル・フィナンシャル（FNF）は、11月のサイバー攻撃（ランサムウェア集団BlackCatによると主張）により、130万人の顧客のデータが流出したことを認めた様です。

2024/01/10

米国証券取引委員会の X アカウントがハッキングされ、証券取引所でのビットコイン ETF の承認に関する偽の発表が行われる

• bleepingcomputerより

米国証券取引委員会の X アカウントがハッキングされ、証券取引所でのビットコイン ETF の承認に関する偽の発表が行われた様です。

セキュリティ研究者を名乗る攻撃者がランサムウェア被害者を標的に

• bleepingcomputerより
• Royalランサムウェアグループ／Akira ランサムウェアグループの被害を受けた組織の一部が、「盗まれた被害者のデータを削除する」と約束した偽のセキュリティ研究者よって標的にされている様です。

2024/01/09

LockBit ランサムウェアグループが米国Capital Health病院へのサイバー攻撃の犯行声明を出す

• bleepingcomputerより
• LockBit ランサムウェアオペレーションが、 2023年11月の米国Capital Health病院のネットワークに対するサイバー攻撃に関して犯行声明を出したそうです。
• Capital Health は、ニュージャージー州とペンシルベニア州の一部で主要な医療サービスを提供する企業で、2 つの大きな病院といくつかのサテライトクリニックと専門クリニックを運営しています。
• 画像等がbleepingcomputerのサイトに載っています。

米国の住宅ローン金融会社LoanDepotがサイバー攻撃を受ける

• bleepingcomputerより
• 米国の住宅ローン金融会社LanDepotがサイバー攻撃を受け、オンラインでのローン支払いができなくなったそうです。

NetGear, HyundaiのXアカウントもハッキングされる

• bleepingcomputerより
• Netgear と Hyundai MEA の公式Xアカウントがハッキングされたそうです。
• 一連のXアカウントハッキングが続いています。

2023/01/06

Web3 セキュリティ会社 CertiK の X（旧Twitter）アカウントがハッキングされる

• bleepingcomputerより
• 今度はCertiKのXアカウントがハッキングされ、仮想通貨の流出を促す悪意のあるサイトに繋がるようになっていた様です。
• 年明けから次々とセキュリティ会社のXアカウントハッキングが続いていますねぇ。。。

2023/01/04

Orange Spain RIPE アカウントがハッカーに乗っ取られる

• bleepingcomputerより
• Orange Spainが2023/01/03に、ハッカーが同社のRIPEアカウントに侵入しBGPルーティングと RPKI構成に障害を与えたと発表しています。
• さすがにBGPハッキングはきついですね。。。

MandiantのX（旧Twitter）アカウントがハイジャックされる

• bleepingcomputerより
• MandiantのXアカウントが2023/01/03にハイジャックされ、Phantom暗号ウォレットになりすまして暗号通貨詐欺を共有したそうです。

2023/01/03

博物館ソフトウェアソリューションプロバイダーのGallery Systemsがランサムウェア攻撃に遭い停止

• bleepingcomputerより
• ニューヨーク近代美術館 (MoMA)、メトロポリタン美術館 (Met)等に提供しているオンライン博物館システムが2023年12月28日にランサムウェア攻撃に遭い停止している様です。

ゼロックス、INCランサムウェアグループによる攻撃で子会社XBS USが侵害されたと発表

• bleepingcomputerより
• ロックス社の声明によると、ゼロックス・ビジネス・ソリューションズ（XBS）の米国部門がハッカーによって侵害され、\個人情報が流出した可能性があるとの事です。
• 12/29にINC Ransomwareグループが恐喝用ポータルに情報を載せている様です。

Qilinランサムウェア攻撃によりビクトリア州の法廷録画が漏洩

• bleepingcomputerより
• オーストラリアのビクトリア法廷サービス（CSV）は、12/21にQilinランサムウェア攻撃を検知。その後、法廷審問のビデオ録画が流出したと警告しています。
• 実際の攻撃は2023年12月8日に発生し、2023年11月1日以降のデータが侵害された様です。