2024Q2 サイバー攻撃関連2024Q2

ここでは実際に2024Q2に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

2024Q1サイバー攻撃関連トピックはこちら

2023Q4サイバー攻撃関連トピックはこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2024/05/18

証券取引委員会（SEC）が金融機関に、データ侵害発見後30日以内に被害者へ通達することを義務付ける

• bleepingcomputerより
• 米国証券取引委員会 (SEC) は、特定の金融機関に対し、データ侵害事件を発見してから 30 日以内に、影響を受けた個人に開示することを義務付ける規制 SP の修正案を採択しました。
• 米国のセキュリティ企業にとっては、ある意味ビジネスチャンスにも繋がりそうです。

2024/05/14

Sliver ペンテストツールを使用したMac用の不正なPyPIパッケージ

• bleepingcomputerより
• Phylumのブログはこちら
• PyPIのステガノグラフィーを介して悪意のある Go バイナリが配信されている様です。
• 2024 年 5 月 10 日、Phylum の自動リスク検出プラットフォームが「requests-darwin-lite」パッケージのロゴ（バイナリ）に悪意のあるバイナリが含まれているのを発見した様です。
• 詳しい情報はPyhlumのブログに載っています。

連邦通信委員会（FCC）がロボコール攻撃者の「Royal Tiger」について警告

• bleepingcomputerより
• 米連邦通信委員会（FCC）は、同委員会で初めて正式に指定されたロボコール脅威アクターを「Royal Tiger」と命名し、警告を出しています。
• Royal Tiger は、インド、英国、アラブ首長国連邦、米国で活動する悪質なグループであり、偽の電話番号を使用して政府機関、銀行、公共事業会社になりすましたロボコールを発信しています。

2024/05/12

The Post Millennialへのサイバー攻撃により26,818,266人のデータ流出

• bleepingcomputerより
• The Post Millennial は、米国のHuman Events Media Groupに属するカナダの保守オンラインニュースマガジンです。
• 公開されたデータには次の種類の情報が含まれます。
  • 名前
  • メールアドレス
  • ユーザー名
  • パスワード
  • IPアドレス
  • 電話番号
  • 住所
  • 性別

CISA＋FBIがBlack BastaのIoC/TTP情報を公開（StopRansomware）

• CISAのサイトより
• CISA+FBIが共同で声明を出し、IoC/TTP情報を公開しています。

2024/05/10

DELLがサイバー攻撃を受けて顧客情報流出。4,900万人に被害か

• bleepingcomputerより
• DELLのポータルが侵害され、顧客情報が流出した模様です。昨日から被害に遭った人間にメールを送り始めている模様。
• 「関係する情報の種類を考慮すると、お客様に重大なリスクはないと考えています。」との事です。
• 漏洩した情報にはメールや電話番号などは含まれておらず、以下の項目が漏洩した模様です。
  • 名前
  • 住所
  • DELLのハードウェアの注文情報（サービスタグ、保証情報など）
• 05/11追記）Menelikという脅威アクターが偽の会社としてAPIにアクセスし、スクレイピングした模様です。
• 「偽の会社名で複数のアカウントを登録することでポータルにアクセスでき、認証なしで2日以内にアクセスできた」とbleepingcomputerに述べたとの事です。

2024/05/09

米国の民間医療システムAscensionがサイバー攻撃を受けてオフラインに

• bleepingcomputerより
• 米国最大の民間医療システムの 1 つであるAscensionがサイバー攻撃を受けてオフラインになったとの事です。
• 2024/05/11追記）ランサムウェア攻撃の疑いがある様です。
• 関係者がCNNに「Black Bastaランサムウェアグループによる攻撃ではないか」と述べている様です。

ウィチタ市がLockBitランサムウェアグループによりサイバー攻撃を受ける

• bleepingcomputerより
• 05/05にウィチタ市が受けたサイバー攻撃ですが、LockBitランサムウェアグループが声明を出した模様です。
• この攻撃により、ウィチタ市当局は、裁判所の罰金、水道料金、公共交通機関などのオンライン請求書支払いに使用される IT システムの停止を余儀なくされました。

2024/05/05

NSA、北朝鮮による電子メールポリシー悪用に対する緩和策を強調

• NSAのプレスリリース
• 電子メールを東アジア問題の正当なジャーナリスト、学者、またはその他の専門家からのものであるかのように見せる北朝鮮のスピアフィッシングメールが増えている様です。

2024/05/04

DropBoxがサイバー攻撃でeSignatureサービスの顧客データ等漏洩

• bleepingcomputerより
• DropBoxがサイバー攻撃で顧客の情報やクレデンシャルなどが漏洩した恐れがあるそうです。
• 問題になったサービスはDropBox Sign（eSignatureサービス）だけであり、他のサービスには影響しない模様です。

2024/05/02

Panda Expressがサイバー攻撃の被害者に

• bleepingcomputerより
• Panda Expressがサイバー攻撃被害にあった様です。3 月に攻撃者が同社の企業システムに侵入し、非公開の多数の従業員の個人情報を盗んだとの事。
• 渡米しているときの心の友です、Panda Express・・・

2024/05/01

数百万の Docker リポジトリがマルウェアやフィッシング サイトをプッシュしていることが判明

• bleepingcomputerより
• JFrogの調査により、2021年から数百万の Docker リポジトリがマルウェアやフィッシング サイトをプッシュしていることが判明した様です。
• こちらは、別サイトのブログの記事にする予定です。

カナダの薬局チェーン店「London Drug」がサイバー攻撃を受けて店舗閉鎖

• bleepingcomputerより
• カナダの薬局チェーン「London Drug」がサイバー攻撃を受けてすべての小売店を閉鎖したそうです。

Okta、顧客に対する「前例のない」クレデンシャルスタッフィング攻撃を警告

• bleepingcomputerより
• Oktaは、同社のIDおよびアクセス管理ソリューションを狙ったクレデンシャルスタッフィング攻撃が「前例のない」急増を見せており、一部の顧客アカウントが攻撃で侵害されたと警告しているそうです。

北朝鮮に関係があると思われる攻撃で、Python開発者が狙われる

• Securonix社の記事より
• 攻撃者が正規の面接官を装い、開発者に偽の面接を設定/ソーシャルエンジニアリングを仕掛ける攻撃が見つかっている様です。

2024/04/24

CoralRaiderキャンペーン。CDNキャッシュを利用して情報を盗むマルウェアを配布

• bleepingcomputerより
• 攻撃者（CoralRaider）が、米国、英国、ドイツ、日本のシステムを標的とした進行中のキャンペーンで、コンテンツ配信ネットワークのキャッシュを使用して情報を盗むマルウェアを保存しています。
• Cisco Talosのブログはこちら
• Cisco Talos は、「CoralRaider」と呼ばれる新たな脅威アクターを発見しました。この攻撃者はベトナム出身で、金銭的な動機を持っていると考えられます。 CoralRaider は少なくとも 2023 年から活動しており、アジアおよび東南アジアの数カ国で被害者をターゲットにしています。
• このグループは、被害者の資格情報、財務データ、ビジネス アカウントや広告アカウントなどのソーシャル メディア アカウントを盗むことに重点を置いています。

北朝鮮のハッカーがアンチウイルスソフトのアップデートをMITMで変更しマルウェアをばらまく

• bleepingcomputerより
• 北朝鮮のハッカーが、AntiVirusソフトのeScanのアップデートを悪用して、標的ネットワークにバックドアを設置し、GuptiMinerマルウェアをを配信しているとのことです。
• AvastのブログにGuptiMinerの詳細が載っています。

イタリアのSynlabがランサムウェア攻撃に遭い停止

• bleepingcomputerより
• 世界 30 か国に展開する Synlab グループの一部である Synlab Italiaは380の研究所と医療センターを展開しています。
• Synlab Italiaが4/18にセキュリティ侵害を受けコンピュータをシャットダウンした事が発表されています。
• 攻撃者は今の所不明とのことです。

ランサムウェアの支払いが28%に低下

• bleepingcomputerより
• ランサムウェアへの支払いを拒否する被害者が増えており、2024Q1では支払い率が28%まで低下しているそうです。CoveWareの調査によると過去から順調に低くなっていってるとのこと。
• これはランサムウェアに対する締め付けに加えて、脅迫側も約束違反を行って身代金支払後にデータを横流ししたりしていた為の模様です。

2024/04/18

攻撃者がKubernetesクリプトマイニングキャンペーンでOpenMetadataアプリをハイジャック

• bleepingcomputerより
• Kubernetes クリプトマイニング キャンペーンでは、攻撃者はRCEと認証の脆弱性を利用して OpenMetadataを標的としてる様です。

脅威アクターFIN7が米国の自動車産業のITスタッフを対象にフィッシング攻撃を行う

• bleepingcomputerより
• 金銭が目的の脅威アクターFIN7が、米国の大手自動車メーカーを標的として、IT 部門の従業員にスピアフィッシングメールを送ることでAnunak バックドアに感染させた模様です。

2024/04/17

Cisco TalosがVPN/Web/SSH等に対するブルートフォースアタックへの警戒を呼びかける

• Cisco Talosのブログより
• 現在、大規模なVPN/SSH/Webに対するブルートフォースアタックが増加しているそうです。
• 下記のVPNが狙われている様です。
  • Cisco Secure Firewall VPN 
  • Checkpoint VPN  
  • Fortinet VPN  
  • SonicWall VPN  
  • RD Web Services 
  • Miktrotik 
  • Draytek 
  • Ubiquiti 
• 詳細はCisco Talosのブログを確認して下さい。

2024/04/16

United Health の子会社 Change Healthcare から盗まれた企業データと患者データが別のアフィリエイトからリークされ始める

• bleepingcomputerより
• Change Healthcareが2月にサイバー攻撃を受け 、米国の医療システムに大規模な混乱を引き起こし、薬局や医師が保険会社に請求したり保険金を送付したりすることができなくなりましたが、こちらの攻撃がBlackCat/ALPHVランサムウェアギャングと結び付けられていました。
• しかし、BlackCatが活動を停止した後、今度はRansomHubランサムウェアギャングがデータリークと恐喝を始めた様です。

TA558がステガノグラフィーを使用して世界中の320の組織を攻撃

• bleepingcomputerより
• TA558の新しいキャンペーンでは、ステガノグラフィーを使用して画像内に悪意のあるコードを隠し、さまざまなマルウェアやツールを標的のシステムに配信しています。
• TA558 は、2018 年から活動を続けている脅威アクターで、 ラテンアメリカを中心に世界中のホスピタリティや観光組織を標的にしています。

チップメーカーのNexperiaがランサムウェアギャングの攻撃によるデータ漏洩を認める

• bleepingcomputerより
• オランダのチップメーカー「Nexperia」が2024年3月にランサムウェアギャングによる被害にあったことを発表しました。
• ランサムウェアギャング「Dunghill Leak」が、Nexperiaに侵入し、1TBの機密データを盗んだと主張しています。

Omni Hotels & Resortsへの攻撃をDaixin Teamランサムウェアギャングが認める

• bleepingcomputer より
• Daixin Team ランサムウェアギャングが、Omni Hotels & Resortsに対するサイバー攻撃を主張し、身代金が支払われない場合は顧客の機密情報を公開すると脅迫しています。

Cisco Duoがサードパーティのデータ漏洩によりSMSのMFAログが漏洩したと発表

• bleepingcomputerより
• Cisco Duoのセキュリティチームによると、サードパーティ（テレフォニープロバイダー）が攻撃されたことにより一部の顧客のMFAのメッセージおよびログが盗まれたとのことです。
• MFAはいまや必須アイテムとなっていますが、そのMFAが危機になると怖いですね。

2024/04/11

TA547が複数のサイバー攻撃でAI生成のスクリプトを使用

• ProofPointより
• Proofpoint は、Rhadamanthys マルウェアを配布する電子メール キャンペーンでドイツの組織をターゲットにした TA547 を特定しました。 この攻撃者は、ChatGPT、Gemini、CoPilot などの大規模言語モデル (LLM) によって生成されたと思われるPowerShell スクリプトを使用しているようでした。

AT&Tのデータ漏洩は5,100万人に影響

• bleepingcomputerより
• 先月発表されたAT&Tのデータ漏洩（700万人に影響か）ですが、数は膨れ上がっており、現在のところ5,100万人に影響しそうだという発表がされたそうです。

2024/04/08

米国保険福祉省（HHS）が警告。ソーシャルエンジニアリングを利用してITヘルプデスクが標的にされている

• HC3のセキュリティレポートより
• 米国保健福祉省 (HHS) は、ハッカーが現在ソーシャル エンジニアリング戦術を使用して、医療および公衆衛生 (HPH) 部門全体の IT ヘルプ デスクをターゲットにしていると警告しています。

Hoyaがサイバー攻撃に

• NHKニュース
• 大手光学ガラスメーカーの「HOYA」が、サイバー攻撃により本社と複数の事業所でシステム障害が発生し、眼鏡用レンズの受注や発送が停止したとのことです。
• 本件は別の機会でまとめたいと思います。