2024Q2 サイバー攻撃関連2024Q2

ここでは実際に2024Q2に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

2024Q1サイバー攻撃関連トピックはこちら

2023Q4サイバー攻撃関連トピックはこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2024/06/28

TeamViewer（リモートアクセスソフトウェア会社）がサイバー攻撃を受ける

• bleepingcomputerより
• リモート アクセス ソフトウェア会社 TeamViewer は、同社の企業環境がサイバー攻撃で侵害されたと警告しています。
• 今後、これを機に顧客への攻撃につながる可能性も有りますので、TeamViewerを使用しているユーザは気をつけましょう。

Unfurling Hemlockとして追跡されている脅威アクターがシステムに大量のマルウェアを送り込む

• bleepingcomputerより
• Unfurling Hemlock として追跡されている攻撃者は、数十万の悪意のあるファイルを配布するキャンペーンで、同時に最大 10 個のマルウェアをターゲット システムに感染させています。これは「マルウェア クラスター爆弾」と呼ばれています。
• KrakenLabが調査結果を纏めています。

KADOKAWAの件、Black Suite ランサムウェアグループが犯行声明

• DAILYDARKWEB.NETより
• KADOKAWAの件、Black Suiteランサムウェアグループが犯行声明を出しています。一応ですが、彼らが犯行を行ったという証拠もありませんので、角川からの続報がないと判断は出来ません。

2024/06/26

Neiman MarcusグループもSnowflakeアカウントハッキングによるデータ流出を認める

• bleepingcomputerより
• Neiman Marcus（百貨店のブランド）グループもSnowflakeアカウントハッキングによるデータ流出を認めた模様です。
• 最近多いので、Snowflakeはどこかで纏めようと思います。

2024/06/24

CDK GlobalがBlackSuitランサムウェアグループに攻撃された模様

• bleepingcomputerより
• CDK Globalの大規模なIT障害と北米全土の自動車販売店への混乱の背後には、BlackSuitランサムウェア集団がいるとの情報が出てきています。
• BlackSuitは2023年5月に活動を開始したランサムウェアグループで、 Royalランサムウェアグループのリブランドであると考えられています。

2024/06/22

Los-angels Unified(ロサンゼルス統一学区）が、Snowflakeアカウントハッキングで学生データが盗まれたことを確認

• bleepingcomputerより
• SnowFlake は、世界中の大手企業がデータを保存するために使用しているクラウド データベース プラットフォームです。
• 今月初め、脅威アクターが、TicketMaster、Satandar Bank、Advance Auto Parts、Pure Storage などの多数の企業のデータを販売し始めました。データが SnowFlakeのアカウントを経由して盗まれていた可能性があります。
• ロサンゼルス統一学区は、脅威アクターが同社の Snowflake アカウントに侵入して生徒と従業員のデータを盗んだことを確認したとの事です。

Change Healthcare、ランサムウェア攻撃で盗まれた医療データをリストアップ

• bleepingcomputerより
• United Healthが、大規模なChange Healthcareランサムウェア攻撃でどのようなタイプの医療データと患者データが盗まれたかを確認し、データ侵害の通知を7月に郵送する予定であると発表したそうです。

2024/06/19

IntelBrokerがAMDの従業員情報・財務文書・機密情報をハッキングフォーラムで売りに出す

• bleepingcomputerより
• 脅威アクターIntelBrokerがハッキングフォーラムで「AMDの従業員情報・財務文書・機密情報が含まれている」というデータを売りに出しています。
• AMDは被害を含めて調査を行なっているとのことです。

Phissing as a ServiceのONNX StoreがMicrosoft 365アカウントを標的に

• bleepingcomputerより
• PhaaS（Phissing as a Service）のONNX StoreがMicrosoft 365アカウントを標的にしている様です。
• ElectricIQのブログに詳細が載っています。

CISAがネットワークアクセスのベストプラクティスを公開

• CISAのブログより
• CISAがネットワークアクセスのベストプラクティスを公開しています。こちらは別記事で纏めようと思います。

MedibankへのREvilランサムウェアによる攻撃の調査が公開。多要素認証が強制されていなかったらしい

• bleepingcomputerより
• MediBankへのREvilランサムウェアによる攻撃の調査が公開されています。VPNで多要素認証が強制されていなかった様です。

2024/06/18

TA571によるGoogle Chromeのエラーを装う攻撃「ClearFake」にご注意

• ProofPointのブログより
• 脅威アクターTA571がGoogle ChromeNoエラーを装う攻撃「ClearFake」を４月から行っている様です。
• PowerShellスクリプトをコピーして実行するように支持してくるとの事ですので、お気をつけください。

2024/06/15

Keytronic社がBlack Bastaランサムウェアグループの被害に

• bleepingcomputerより
• PCBA製造大手のKeytronicは、2週間前にBlack Bastaランサムウェア集団が同社の盗んだデータ530GBを漏洩したことを受けて、データ侵害の被害に遭ったとの報告を行った模様です。

米国の大手商業銀行であるTRUISTバンクがシステム侵害を報告

• bleepingcomputerより
• 米国の大手商業銀行であるトラスト銀行は今週、脅威アクターが同社のデータの一部をハッキングフォーラムに販売目的で投稿した事から、2023年10月のサイバー攻撃で同社のシステムが侵害されたことを認めた模様です。

Global LifeがWebポータルからデータ侵害

• bleepingcomputerより
• アメリカの金融サービス持株会社グローブライフは、攻撃者が同社のWebポータルの1つに侵入した後、消費者と保険契約者のデータにアクセスした可能性があると発表しています。

Scattered Spider(UNC3944)がSaaSアプリからデータを盗み出す

• bleepingcomputerより
• Scattered Spider（UNC3944: Telegram チャネル、ハッキング フォーラム、Discord サーバーを頻繁に利用するサイバー犯罪者のコミュニティを表すために付けられた名前）ギャングが、SaaSからデータを盗み出して脅迫に使用している模様です。
• Mandiantのブログはこちらになります。こちらも何処かでまとめる予定です。

CISAがKEVを更新。Windowsの脆弱性(CVE-2024-26169)をBlack Bastaランサムウェアグループが使用

• CISAのブログはこちら
• CISAがKEVを更新しました。Windowsの脆弱性(CVE-2024-26169)の攻撃を観測したとのことです。

2024/06/13

Google Pixelのファームウェア脆弱性(CVE-2024-32896)を狙ったエクスプロイトが観測されているとのこと

• bleepingcomputerより

• Google Pixelのファームウェア脆弱性を狙ったexploitがすでに観測されている模様です。

CISAの職員を騙る詐欺電話に注意とのこと

• CISAのアラートより
• CISAが同庁の代理人を名乗る最近のなりすまし詐欺師を確認したと言って注意を呼びかけています。
• アラートにもありますが、「CISA スタッフがあなたに送金、現金、暗号通貨の送金、またはギフトカードの使用を求める連絡をすることは決してありませんし、話し合いを秘密にするよう指示することもありません」との事です。この辺は、日本の特殊詐欺と同じですね。

ウクライナの警察がConti/Lockbitの関係者を逮捕

• bleepingcomputerより
• ウクライナのサイバー警察が、Conti/LockBitのランサムウェアオペレーションに協力し、自ら少なくとも1回の攻撃を行ったとして、キエフ在住の28歳のロシア人男性を逮捕したそうです。

2024/06/12

BlackBastaランサムウェアグループが直近のCVE-2024-26169を狙った攻撃と結びつけられる

• bleepingcomputerより
• Black Basta ランサムウェア攻撃は、修正プログラムが公開される前のゼロデイ攻撃として、Windows の権限昇格の脆弱性 (CVE-2024-26169)(3月に修正) を悪用した疑いがあります。

2024/06/11

Cylanceが攻撃に。Snowflakeのサードパーティ脆弱性から来た攻撃か

• bleepingcomputerより
• Cylanceから古いマーケティングデータが流出した模様です。BlackBerryによるCylance製品ポートフォリオの買収よりも前の、2015年から2018年のものと思われるとのこと。
• CrowdStrikeおよびMandiantとの共同勧告の中で、 Snowflakeは 攻撃者（UNC5537）が盗んだ顧客の資格情報を使用して、多要素認証保護のないアカウントを標的にしたと述べている模様です。UNC5537の情報はこちらになります。

2024/06/10

EUの欧州議会選挙を狙ったDDoS

• bleepingcomputerより
• 欧州議会選挙を狙ったハクティビストによるDDoS攻撃が観測されている様です。

2024/06/07

GitHubを狙ったGitLockerランサムキャンペーン

• bleepingcomputerより
• GitHubアカウントを狙ったGitLockerという攻撃者があちこちに攻撃を加えている様です。
• 攻撃者は GitHub リポジトリをターゲットにしてそのコンテンツを消去し、被害者に詳細について Telegram に連絡するよう指示を出します。攻撃者は盗んだ認証情報を使用してターゲットの GitHub アカウントを侵害している可能性があります。
• 攻撃者は侵害後即座に被害者のプライベートリポジトリからデータを盗みだし、こちらにある様な文面を残していく様です。
• GitHubアカウントのセキュリティベストプラクティスがGitHubから出ていますので、こちらを参考にきちんと設定しましょう。

2024/06/05

TikTokが有名人アカウントの乗っ取りに使われた脆弱性を修正

• bleepingcomputerより
• TikTokのダイレクトメッセージ機能のゼロデイ脆弱性を悪用した攻撃者が、複数の企業や有名人のTikTokアカウントを乗っ取っていたとの事です。

ロンドンのNHS病院がSynnovisランサムウェア攻撃で混乱

• bleepingcomputerより
• Synnovisランサムウェアの攻撃によりロンドンのNHS病院の医療サービスが影響を受けている様です。
• 2024/06/15追記：これにより800の手術が中止せざるを得なくなった模様です。病院系のサービスは被害に遭うと物凄い影響が出ますね。

FBIが偽のリモートワークジョブについて警告

• bleepingcomputerより
• FBIはこちら
• FBIが企業の採用担当者を装い、偽のリモート求人広告を使用して全米の求職者から仮想通貨を盗む手口について警告を発しています。

2024/05/30

Okta 、Customer Identity Cloud (CIC) 機能がクレデンシャル スタッフィング攻撃の標的になっていると警告

• bleepingcomputerより
• Oktaのブログはこちら
• Okta は、Customer Identity Cloud (CIC) 機能がクレデンシャル スタッフィング攻撃の標的になっていると警告し、4 月以降、多数の顧客が標的になっていると伝えています。

2024/05/28

UAC-0188によるトロイの木馬化したマインスイーパーにより金融組織がフィッシング詐欺に

• bleepingcomputerより
• CERT-UAの記事はこちら
• UAC-0188が「マインスイーパー」の Pythonクローンを利用して、ヨーロッパと米国の金融機関に対する攻撃を行っている様です。

米国のSAV-RX(調剤薬局)がデータ漏洩。280万人に影響

• bleepingcomputerより
• 調剤薬局のSav-Rxは、2023年のサイバー攻撃で個人データが盗まれたとして、米国の280万人以上の人々にデータ侵害の被害に遭ったと警告しているそうです。

CheckPointがVPNに対する悪意のあるグループの関心が高まっていることを指摘

• CheckPointブログより
• CheckPointが2024/05/24までにVPNへの攻撃が高まっていることを観測している様です。
• CheckPointによると、推奨されないパスワードのみの認証方法に依存した古い VPN ローカル アカウントを使用したログイン試行も確認しているとのこと。
• CheckPointのおすすめは以下の通りです。
  • ローカルアカウントがあるかどうか、それらが誰によって使用されたかどうかを確認してください。
  • 使用しない場合は、無効にするのが最善です。
  • 使用したいローカルアカウントがあり、パスワードのみで認証される場合は、別の認証レイヤー (証明書など) を追加して、環境の IT セキュリティを強化します。
  • 前述のとおり、Check Point の顧客の場合は、Security Gateway に当社のソリューションを導入してください。 これにより、パスワードのみの認証方法を使用したローカル アカウントによる VPN への不正アクセスが自動的に防止されます。

2024/05/18

証券取引委員会（SEC）が金融機関に、データ侵害発見後30日以内に被害者へ通達することを義務付ける

• bleepingcomputerより
• 米国証券取引委員会 (SEC) は、特定の金融機関に対し、データ侵害事件を発見してから 30 日以内に、影響を受けた個人に開示することを義務付ける規制 SP の修正案を採択しました。
• 米国のセキュリティ企業にとっては、ある意味ビジネスチャンスにも繋がりそうです。

2024/05/14

Sliver ペンテストツールを使用したMac用の不正なPyPIパッケージ

• bleepingcomputerより
• Phylumのブログはこちら
• PyPIのステガノグラフィーを介して悪意のある Go バイナリが配信されている様です。
• 2024 年 5 月 10 日、Phylum の自動リスク検出プラットフォームが「requests-darwin-lite」パッケージのロゴ（バイナリ）に悪意のあるバイナリが含まれているのを発見した様です。
• 詳しい情報はPyhlumのブログに載っています。

連邦通信委員会（FCC）がロボコール攻撃者の「Royal Tiger」について警告

• bleepingcomputerより
• 米連邦通信委員会（FCC）は、同委員会で初めて正式に指定されたロボコール脅威アクターを「Royal Tiger」と命名し、警告を出しています。
• Royal Tiger は、インド、英国、アラブ首長国連邦、米国で活動する悪質なグループであり、偽の電話番号を使用して政府機関、銀行、公共事業会社になりすましたロボコールを発信しています。

2024/05/12

The Post Millennialへのサイバー攻撃により26,818,266人のデータ流出

• bleepingcomputerより
• The Post Millennial は、米国のHuman Events Media Groupに属するカナダの保守オンラインニュースマガジンです。
• 公開されたデータには次の種類の情報が含まれます。
  • 名前
  • メールアドレス
  • ユーザー名
  • パスワード
  • IPアドレス
  • 電話番号
  • 住所
  • 性別

CISA＋FBIがBlack BastaのIoC/TTP情報を公開（StopRansomware）

• CISAのサイトより
• CISA+FBIが共同で声明を出し、IoC/TTP情報を公開しています。

2024/05/10

DELLがサイバー攻撃を受けて顧客情報流出。4,900万人に被害か

• bleepingcomputerより
• DELLのポータルが侵害され、顧客情報が流出した模様です。昨日から被害に遭った人間にメールを送り始めている模様。
• 「関係する情報の種類を考慮すると、お客様に重大なリスクはないと考えています。」との事です。
• 漏洩した情報にはメールや電話番号などは含まれておらず、以下の項目が漏洩した模様です。
  • 名前
  • 住所
  • DELLのハードウェアの注文情報（サービスタグ、保証情報など）
• 05/11追記）Menelikという脅威アクターが偽の会社としてAPIにアクセスし、スクレイピングした模様です。
• 「偽の会社名で複数のアカウントを登録することでポータルにアクセスでき、認証なしで2日以内にアクセスできた」とbleepingcomputerに述べたとの事です。

2024/05/09

米国の民間医療システムAscensionがサイバー攻撃を受けてオフラインに

• bleepingcomputerより
• 米国最大の民間医療システムの 1 つであるAscensionがサイバー攻撃を受けてオフラインになったとの事です。
• 2024/05/11追記）ランサムウェア攻撃の疑いがある様です。
• 関係者がCNNに「Black Bastaランサムウェアグループによる攻撃ではないか」と述べている様です。

ウィチタ市がLockBitランサムウェアグループによりサイバー攻撃を受ける

• bleepingcomputerより
• 05/05にウィチタ市が受けたサイバー攻撃ですが、LockBitランサムウェアグループが声明を出した模様です。
• この攻撃により、ウィチタ市当局は、裁判所の罰金、水道料金、公共交通機関などのオンライン請求書支払いに使用される IT システムの停止を余儀なくされました。

2024/05/05

NSA、北朝鮮による電子メールポリシー悪用に対する緩和策を強調

• NSAのプレスリリース
• 電子メールを東アジア問題の正当なジャーナリスト、学者、またはその他の専門家からのものであるかのように見せる北朝鮮のスピアフィッシングメールが増えている様です。

2024/05/04

DropBoxがサイバー攻撃でeSignatureサービスの顧客データ等漏洩

• bleepingcomputerより
• DropBoxがサイバー攻撃で顧客の情報やクレデンシャルなどが漏洩した恐れがあるそうです。
• 問題になったサービスはDropBox Sign（eSignatureサービス）だけであり、他のサービスには影響しない模様です。

2024/05/02

Panda Expressがサイバー攻撃の被害者に

• bleepingcomputerより
• Panda Expressがサイバー攻撃被害にあった様です。3 月に攻撃者が同社の企業システムに侵入し、非公開の多数の従業員の個人情報を盗んだとの事。
• 渡米しているときの心の友です、Panda Express・・・

2024/05/01

数百万の Docker リポジトリがマルウェアやフィッシング サイトをプッシュしていることが判明

• bleepingcomputerより
• JFrogの調査により、2021年から数百万の Docker リポジトリがマルウェアやフィッシング サイトをプッシュしていることが判明した様です。
• こちらは、別サイトのブログの記事にする予定です。

カナダの薬局チェーン店「London Drug」がサイバー攻撃を受けて店舗閉鎖

• bleepingcomputerより
• カナダの薬局チェーン「London Drug」がサイバー攻撃を受けてすべての小売店を閉鎖したそうです。

Okta、顧客に対する「前例のない」クレデンシャルスタッフィング攻撃を警告

• bleepingcomputerより
• Oktaは、同社のIDおよびアクセス管理ソリューションを狙ったクレデンシャルスタッフィング攻撃が「前例のない」急増を見せており、一部の顧客アカウントが攻撃で侵害されたと警告しているそうです。

北朝鮮に関係があると思われる攻撃で、Python開発者が狙われる

• Securonix社の記事より
• 攻撃者が正規の面接官を装い、開発者に偽の面接を設定/ソーシャルエンジニアリングを仕掛ける攻撃が見つかっている様です。

2024/04/24

CoralRaiderキャンペーン。CDNキャッシュを利用して情報を盗むマルウェアを配布

• bleepingcomputerより
• 攻撃者（CoralRaider）が、米国、英国、ドイツ、日本のシステムを標的とした進行中のキャンペーンで、コンテンツ配信ネットワークのキャッシュを使用して情報を盗むマルウェアを保存しています。
• Cisco Talosのブログはこちら
• Cisco Talos は、「CoralRaider」と呼ばれる新たな脅威アクターを発見しました。この攻撃者はベトナム出身で、金銭的な動機を持っていると考えられます。 CoralRaider は少なくとも 2023 年から活動しており、アジアおよび東南アジアの数カ国で被害者をターゲットにしています。
• このグループは、被害者の資格情報、財務データ、ビジネス アカウントや広告アカウントなどのソーシャル メディア アカウントを盗むことに重点を置いています。

北朝鮮のハッカーがアンチウイルスソフトのアップデートをMITMで変更しマルウェアをばらまく

• bleepingcomputerより
• 北朝鮮のハッカーが、AntiVirusソフトのeScanのアップデートを悪用して、標的ネットワークにバックドアを設置し、GuptiMinerマルウェアをを配信しているとのことです。
• AvastのブログにGuptiMinerの詳細が載っています。

イタリアのSynlabがランサムウェア攻撃に遭い停止

• bleepingcomputerより
• 世界 30 か国に展開する Synlab グループの一部である Synlab Italiaは380の研究所と医療センターを展開しています。
• Synlab Italiaが4/18にセキュリティ侵害を受けコンピュータをシャットダウンした事が発表されています。
• 攻撃者は今の所不明とのことです。

ランサムウェアの支払いが28%に低下

• bleepingcomputerより
• ランサムウェアへの支払いを拒否する被害者が増えており、2024Q1では支払い率が28%まで低下しているそうです。CoveWareの調査によると過去から順調に低くなっていってるとのこと。
• これはランサムウェアに対する締め付けに加えて、脅迫側も約束違反を行って身代金支払後にデータを横流ししたりしていた為の模様です。

2024/04/18

攻撃者がKubernetesクリプトマイニングキャンペーンでOpenMetadataアプリをハイジャック

• bleepingcomputerより
• Kubernetes クリプトマイニング キャンペーンでは、攻撃者はRCEと認証の脆弱性を利用して OpenMetadataを標的としてる様です。

脅威アクターFIN7が米国の自動車産業のITスタッフを対象にフィッシング攻撃を行う

• bleepingcomputerより
• 金銭が目的の脅威アクターFIN7が、米国の大手自動車メーカーを標的として、IT 部門の従業員にスピアフィッシングメールを送ることでAnunak バックドアに感染させた模様です。

2024/04/17

Cisco TalosがVPN/Web/SSH等に対するブルートフォースアタックへの警戒を呼びかける

• Cisco Talosのブログより
• 現在、大規模なVPN/SSH/Webに対するブルートフォースアタックが増加しているそうです。
• 下記のVPNが狙われている様です。
  • Cisco Secure Firewall VPN 
  • Checkpoint VPN  
  • Fortinet VPN  
  • SonicWall VPN  
  • RD Web Services 
  • Miktrotik 
  • Draytek 
  • Ubiquiti 
• 詳細はCisco Talosのブログを確認して下さい。

2024/04/16

United Health の子会社 Change Healthcare から盗まれた企業データと患者データが別のアフィリエイトからリークされ始める

• bleepingcomputerより
• Change Healthcareが2月にサイバー攻撃を受け 、米国の医療システムに大規模な混乱を引き起こし、薬局や医師が保険会社に請求したり保険金を送付したりすることができなくなりましたが、こちらの攻撃がBlackCat/ALPHVランサムウェアギャングと結び付けられていました。
• しかし、BlackCatが活動を停止した後、今度はRansomHubランサムウェアギャングがデータリークと恐喝を始めた様です。

TA558がステガノグラフィーを使用して世界中の320の組織を攻撃

• bleepingcomputerより
• TA558の新しいキャンペーンでは、ステガノグラフィーを使用して画像内に悪意のあるコードを隠し、さまざまなマルウェアやツールを標的のシステムに配信しています。
• TA558 は、2018 年から活動を続けている脅威アクターで、 ラテンアメリカを中心に世界中のホスピタリティや観光組織を標的にしています。

チップメーカーのNexperiaがランサムウェアギャングの攻撃によるデータ漏洩を認める

• bleepingcomputerより
• オランダのチップメーカー「Nexperia」が2024年3月にランサムウェアギャングによる被害にあったことを発表しました。
• ランサムウェアギャング「Dunghill Leak」が、Nexperiaに侵入し、1TBの機密データを盗んだと主張しています。

Omni Hotels & Resortsへの攻撃をDaixin Teamランサムウェアギャングが認める

• bleepingcomputer より
• Daixin Team ランサムウェアギャングが、Omni Hotels & Resortsに対するサイバー攻撃を主張し、身代金が支払われない場合は顧客の機密情報を公開すると脅迫しています。

Cisco Duoがサードパーティのデータ漏洩によりSMSのMFAログが漏洩したと発表

• bleepingcomputerより
• Cisco Duoのセキュリティチームによると、サードパーティ（テレフォニープロバイダー）が攻撃されたことにより一部の顧客のMFAのメッセージおよびログが盗まれたとのことです。
• MFAはいまや必須アイテムとなっていますが、そのMFAが危機になると怖いですね。

2024/04/11

TA547が複数のサイバー攻撃でAI生成のスクリプトを使用

• ProofPointより
• Proofpoint は、Rhadamanthys マルウェアを配布する電子メール キャンペーンでドイツの組織をターゲットにした TA547 を特定しました。 この攻撃者は、ChatGPT、Gemini、CoPilot などの大規模言語モデル (LLM) によって生成されたと思われるPowerShell スクリプトを使用しているようでした。

AT&Tのデータ漏洩は5,100万人に影響

• bleepingcomputerより
• 先月発表されたAT&Tのデータ漏洩（700万人に影響か）ですが、数は膨れ上がっており、現在のところ5,100万人に影響しそうだという発表がされたそうです。

2024/04/08

米国保険福祉省（HHS）が警告。ソーシャルエンジニアリングを利用してITヘルプデスクが標的にされている

• HC3のセキュリティレポートより
• 米国保健福祉省 (HHS) は、ハッカーが現在ソーシャル エンジニアリング戦術を使用して、医療および公衆衛生 (HPH) 部門全体の IT ヘルプ デスクをターゲットにしていると警告しています。

Hoyaがサイバー攻撃に

• NHKニュース
• 大手光学ガラスメーカーの「HOYA」が、サイバー攻撃により本社と複数の事業所でシステム障害が発生し、眼鏡用レンズの受注や発送が停止したとのことです。
• 本件は別の機会でまとめたいと思います。