2021年2月27日から3月5日までのセキュリティインシデントの概要

2021/03/10 セキュリティーニュース
logo

先週、いくつかの組織は、Accellionソフトウェアの脆弱性によりサイバー攻撃の犠牲者になりました。ランサムウェアオペレーターはツールを改善し続け、コロナウイルスワクチンメーカーはサイバー攻撃の犠牲者になり、中国のハッカーは、ブラウザ拡張機能を使用してGmailをハッキングすることを学びました。2021年2月27日から3月5日までの期間に全世界で報告された情報セキュリティのインシデントについてご一読ください。

AccellionのFTAファイル共有ソフトウェアの脆弱性

 

AccellionのFTAファイル共有ソフトウェアのゼロデイ脆弱性を悪用して機密データを盗むサイバー犯罪者のグループは、主要なクラウドセキュリティベンダーであるQualysに侵入した主張しています。 データへのアクセスの証拠として、Clopグループのハッカーサイトは、注文書、請求書、税務書類、スキャンレポートなど、Qualysの顧客に関する情報を含むとされる文書を公開しました。

 

Accellion FTAソフトウェアに関連するセキュリティインシデントは、アメリカの鉄道会社CSXCorporationによっても調査されています。 ランサムウェアClopの運営者が、CSX Corporationの内部ファイルのスクリーンショットをWebサイトにリーク情報として投稿した為、同社は調査を開始しました。 ファイルには、会社の現在および元従業員の個人データが含まれています。

暗号化プログラムのQuoterによる攻撃

 

運送会社への攻撃は、カスペルスキーの専門家によって報告されました。 2020年12月から現在までに、約10の組織がサイバー犯罪者の犠牲者になっています。 ロシア語を話すRTMグループが支援する攻撃では、これまで知られていなかった暗号化プログラムであるQuoterが使用されています。 一次感染は、フィッシングメール経由で発生します。

中国のハッカーグループAPT10による攻撃

 

中国のハッカーグループAPT10が、インドの2つのCOVID-19ワクチンメーカーのITシステムを攻撃しました。 攻撃者は、インドのバイオテクノロジー企業であるBharatBiotechとSerumInstitute of India(SII)のITインフラストラクチャとソフトウェアサプライチェーンに脆弱性を発見しました。 APT10は、知的財産を盗み、中国がインドの製薬会社に対して競争上の優位性を獲得することを目的としています。

 

 

 

中国のグループTA413による攻撃

 

別の中国のグループであるTA413は、2021年初頭に、悪意のあるブラウザ拡張機能を使用してチベットの組織のGmailアカウントを攻撃しようとしました。 今年の1月から2月に、グループはFirefoxブラウザ用のFriarFox拡張機能を攻撃されたコンピュータに配信し、被害者のGmailを制御できるようにしました。 この攻撃では、以前は情報セキュリティの専門家によってTA413にリンクされていたScanboxおよびSepulcherマルウェアも使用されていました。

 

 世界第3位の乳製品生産者であり、ヨーロッパを代表するチーズ生産者であるGroupe Lactalisは、サイバー犯罪者が多数のコンピューターシステムを侵害したサイバー攻撃を報告しました。 事件の調査はまだ進行中であり、現時点ではデータ漏洩の証拠はありません。

ソーシャルネットワークGabへのサイバー攻撃

 

大規模なサイバー攻撃がソーシャルネットワークGabで開始されました。これは、「ネオナチのTwitter」と呼ばれることもあります。 データ漏えいの犠牲者の中には、元米国大統領、億万長者のドナルドトランプ、共和党議員のマージョリーテイラーグリーン、そして人気のある右翼のテレビとラジオのホストであるアレックスジョーンズがいます。

 

 

 

 Ryukランサムウェアによる攻撃

 

フランス国立コンピュータインシデント対応センター(CERT-FR)の専門家が、被害者のネットワーク全体に自動的に拡散できるワーム機能を備えたRyukランサムウェアの更新バージョンについて話しました。 以前のバージョンのランサムウェアは、ネットワークを自動的にナビゲートできませんでした。 しかし、今年初めに事件を調査しているときに、研究者は、感染したネットワーク全体に自動的に広がることを可能にするワームのようなプロパティが追加されたRyukのサンプルを見つけました。

サイバー犯罪グループのHotarusCorpによる攻撃

 

サイバー犯罪グループのHotarusCorpは、エクアドル財務省と国内最大の銀行であるBanco Pichinchaのコンピューターシステムをハッキングし、機密データを盗みました。 攻撃者はファイルを暗号化するために、PHPで記述されたRonggolaweランサムウェア(AwesomeWareとも呼ばれます)を使用しました。 攻撃の直後、攻撃者は、ユーザー名とパスワードハッシュの6632の組み合わせを含むテキストファイルをハッカーフォーラムに公開しました。

VMware ESXiハイパーバイザーへの攻撃

 

 同時に、2つのランサムウェアプログラムが、VMware ESXiハイパーバイザーを攻撃し、仮想マシン内のファイルを暗号化できるようにする新機能を受け取りました。 情報セキュリティ会社CrowdStrikeの専門家によると、幸いなことに、攻撃自体ではESXiに侵入することはできません(最初のタイプのハイパーバイザーへの攻撃が成功すると、ホストが危険にさらされることになります)。 問題のランサムウェアのオペレーターであるCARBONSPIDERとSPRITESPIDERのグループは、ESXiと仮想マシンの管理に使用されるvCenterサーバーにアクセスするために資格情報の検出に依存しています。

 

先週、データ漏えいがなかったわけではありません。 たとえば、Eclipseプロジェクトの作業を調整する非営利組織であるEclipse FoundationのスペシャリストであるMikaëlBarberoは、機密データがGitHubサイトのリポジトリに漏洩し、repo.eclipse.orgに影響を与えた可能性があることを確認しました。 

AndroidVPNサービスへの不正アクセス

 

 3つの人気のあるAndroidVPNサービスのユーザーデータベースがハッキングされ、数百万のユーザーエントリがオンラインで販売されています。 合計で、販売中のデータベースには、ユーザー登録情報を含む2,100万件のレコードが含まれています。 データベースには、資格情報に加えて、電子メールアドレス、支払い関連データ、およびプレミアムアカウントの有効期限も含まれています。 伝えられたところによると、攻撃者は潜在的な購入者のために国ごとにデータを並べ替えることも提案しています。

まとめ

 

数多くの攻撃グループがあることが確認できたと思います。その攻撃グループがどこの国のグループでどの様なタイプの攻撃を仕掛けるかを知っているだけでも対策が取りやすいのは言うまでもありません。情報がなければ不正アクセスの被害にあっても攻撃を受けたという事実以上の事を知る事ができないはずです。というのは、ほとんどの場合、不正アクセスを受けた事すら気付かず、外部からの指摘で気付かされる。

デジタル毀損は100%防げるものではないが、標準の対策を怠ったことで発生した場合が殆どです。攻撃ツールが出回っている脆弱性を放っておけば、いつかは不正アクセスを受けるでしょう。今回対策をしない企業は次回同じシチュエーションになっても脆弱性対策をしないはずだ。その回数が積もり積もれば、不正アクセスを受ける確率が大きくなる。