ここでは実際に2023Q2に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。
2023/05/15
Discordがセキュリティ侵害に遭いデータ漏洩
- bleepingcomputerより
- Discordは、サードパーティのサポートエージェントのアカウントが侵害された後に発生したデータ侵害についてユーザーに通知しています。
- Discordは影響を受けたユーザーに送ったメッセージで、「あなたの電子メールアドレス、カスタマーサービスメッセージの内容、あなたとDiscordの間で送信された添付ファイルが第三者に漏洩した可能性がある」と述べているそうです。
TOYOTAの車位置情報(200万人分)が過去10年間に渡って流出
- TOYOTAのリリースはこちら
- トヨタ自動車は、2013年11月6日から2023年4月17日までの10年間に、自社のクラウド環境で215万台の顧客の車両位置情報が流出したことを明らかにしました。
- TOYOTAの説明によると、データ侵害はデータベースの設定ミスが原因で、パスワードなしで誰でもそのコンテンツにアクセスできるようになったことが原因とのことです。
- トヨタコネクティッドのサイトに詳しい情報が載っています。
ABBグループがBlack Bastaランサムウェア被害に
- bleepingcomputerより
- スイスの多国籍企業「ABB」がBlack Bastaランサムウェア攻撃にあった様です。
- Black Bastaは2022年4月にRaaSの一つとして有名になった攻撃者です。Black Bastaに関してはPalo Alto Networksのサイトに詳しく載っています。
2023/05/08
Western Digitalが3月の攻撃で顧客データの盗難があったことを認める
- bleepingcomputerより
- Western Digitalが3月にALPHVランサムウェアグループによる攻撃を受けた際の話です。
- 「調査によると、2023 年 3 月 26 日またはその前後に、第三者がオンラインストアの顧客の個人情報を含むデータベースのコピーを取得したことがわかりました」と述べています。
2023/05/05
ダラス市がRoyalランサムウェアグループの攻撃に合う
- bleepingcomputerより
- ダラス市がRoyalランサムウェアグループの攻撃に合い、一部のITシステムをシャットダウンしているとのことです。
- ランサムウェア攻撃の疑いがあるため、月曜日の朝から市警察の通信と IT システムがシャットダウンされたとの事です。
- ダラス郡警察のウェブサイトも、セキュリティ インシデントにより一部がオフラインでしたが、その後復元されました。
T-Mobileが2023年で二回目のデータ漏洩を明らかに
- bleepingcomputerより
- 「悪意のある人物が 2023 年 2 月下旬から 3 月の間に少数の T-Mobile アカウントから限られた情報にアクセスした」との事です。
- T-Mobile によると、攻撃者は通話記録や影響を受けた個人の個人金融口座情報にはアクセスできなかったそうです。
ALPHVランサムウェアグループがWestern Digitalのサイバー攻撃への対応をからかう
- bleepingcomputerより
- ALPHV(BlackCat)ランサムウェアグループが、Western Digitalの内部メールとビデオ会議のスクリーンショットを公開しました。これは、Western Digitalが侵害に対応したと言っていた後も、同社のシステムに引き続きアクセスしていた可能性が高いことを示しています。
- 2023/03/26 Western Digitalはサイバー攻撃を受けました。ランサムウェアは展開されず、ファイルの暗号化等はありませんでした。
- これに対応してWestern DigitalはMy Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS 5、SanDisk ibi、SanDisk Ixpand Wireless Chargerを2週間シャットダウンしました。
- しかし、ALPHVランサムウェアグループは攻撃に対するWestern Digitalの対応に関連して、対応後の電子メール、ドキュメント、およびビデオ会議の 29 枚のスクリーンショットを公開したそうです。
- Western Digitalでは公開されたドキュメント等に関して真偽の程を調査中とのことです。
2023/05/03
G7に向けてDNS水攻め攻撃が行われている
- G7サミット開催に向けて、DNS水責め攻撃が行われている様です。
- DNS水責め攻撃の説明はこちら
- https://www.knb.ne.jp/news/2506/
- G7前にサイバー攻撃が頻発 特殊な手法、企業や官庁に
2023/04/27
PaperCutサーバへの攻撃の背後にClop/LockBit ランサムウェアグループ
- bleepingcomputerより
- PaperCutサーバへの攻撃の背後にClop/LockBitランサムウェアグループが居るというMicrosoftの調査結果です。
2023/04/25
KuCoinのTwitterアカウントがハイジャックされる。
- bleepingcomputerより
- KuCoin(2017年にシンガポールで設立された「Kucoin Co.,Limited」が運営する仮想通貨取引所)のツイッターアカウントがハイジャックされ、仮想通貨詐欺に使用されたそうです。
- 詳しい情報はリンク先のニュースを確認してください。
2023/04/16
NCRがBlackCat/ALPHV ランサムウェアギャングの被害に
- bleepingcomputerより
- NCR は、BlackCat/ALPHV ギャングが犯行を主張しているランサムウェア攻撃に見舞われた後、Aloha POS プラットフォームが停止し、頭を悩ませています。
- 同社の製品の 1 つであるホスピタリティ サービスで使用される Aloha POS プラットフォームは、水曜日以降、顧客がシステムを利用できずに機能停止に見舞われているとのことです。
2023/04/13
Hyundaiがサイバー攻撃に遭いイタリアとフランスの顧客の情報が漏洩
- bleepingcomputerより
- Hyundaiがサイバー攻撃に遭い、イタリアとフランスの顧客の情報が漏洩した模様です。
- 以下の情報が漏洩した模様
- メールアドレス
- 物理的なアドレス
- 電話番号
- 車番号
- Hyundaiは専門家と一緒に調査に当たり、追加のセキュリティ対策が実装されるまで、影響を受けたシステムをオフラインにしたとのことです。
2023/04/12
英国犯罪記録局がポータルの問題の背後にあるサイバー事件を確認
- bleepingcomputerより
- 英国の刑事記録局 (ACRO) は、1 月 17 日以降に発生したオンライン ポータルの問題が「サイバーセキュリティインシデント」に起因するものであることを確認しました。 ACRO は、犯罪記録情報の管理、要求に応じた犯罪記録の提供、およびこれらの記録の外国との共有を担当する英国の法執行機関です。
Medusa ランサムウェアがキプロスのオープン大学への攻撃を主張
- bleepingcomputerより
- Medusa ランサムウェア ギャングは、Open University of Cyprus (OUC) に対するサイバー攻撃を主張しており、組織の運営に深刻な混乱を引き起こしました。
- 同大学は、3 月 27 日に発生したサイバー攻撃に関する発表を発表しました。この攻撃により、いくつかの中央サービスと重要なシステムがオフラインになりました。
台湾のPC部品メーカMSIがMoney Messageランサムウェアに攻撃される
- bleepingcomputerより
- 台湾の PC 部品メーカー MSI (Micro-Star International) は、同社のネットワークが「Money Message」ランサムウェアギャングの攻撃に遭い、ソースコードが流出したと発表しました。
- Money Message は現在、MSI が身代金の支払い要求を満たさない限り、盗まれたとされるこれらすべての文書を約 5 日以内に公開すると脅迫しています。
- 現在MSIは調査を進めているようです。
新たなダークウェブ市場STYXが金融詐欺に焦点を当てる
- bleepingcomputerより
- STYX と呼ばれる新しいダークウェブ マーケットプレイスが今年初めに開始され、違法なサービスや盗まれたデータを売買するための盛んなハブになりつつあるようです。
- セキュリティ企業のResecurityの調査によると、STYXは金融詐欺全般に焦点を当てているようです。
- 詳しい情報はbleepingcomputerの記事を確認してください。
2023/04/11
ちょっと溜め過ぎていたので、小出しに少しずつ出していきます。
中国の原子力エネルギー企業を標的としたBitter APTキャンペーン
- PolySwarm ブログより
- Bitter APTはT-APT-17とも呼ばれており、CISCOの解析では2013年から活動。南アジアのグループだそうで、中国やバングラディッシュのエネルギー系企業を標的としてきています。
- 脅威アクターは、北京のキルギス大使館からのものを装って会議参加の誘いを掛けるフィッシング キャンペーンを行っている様です。メールにはRARファイルが含まれており、RARファイルを開くと感染、という仕組みです。
- PoliSwarmブログにIoC等が載っていますので参考にしてください。