2021年5月8日から14日までの期間のセキュリティインシデントの概要

2021/05/18 セキュリティーニュース
logo

今週のハイライトは間違いなくアメリカのコロニアルパイプラインへの攻撃であり、それはアメリカ西海岸全体でガソリンの不足を引き起こしました。 2021年5月8日から14日までの期間に発生したセキュリティインシデントについてご一読ください。

■DarkSideによるコロニアルパイプラインへの攻撃
5月7日、コロニアルパイプラインは、ランサムウェアDarkSideを使用したサイバー攻撃の犠牲者であることを知りました。 攻撃の結果、コンピューターネットワークをオフにすると同時に、燃料ラインをオフにする必要がありました。 コロニアルパイプラインは1日に約250万バレルの精製燃料を輸送し、米国東海岸で消費されるすべての燃料の45%を供給するため、政府は18の州で非常事態を出さなければなりませんでした。

攻撃後、ロシア政府のために働いているハッカーがその背後にいるという情報がメディアに現れ始めましたが、DarkSideのオペレーターはこの内容を公に否定しました。  5月10日、彼らは自分たちのグループが「非政治的」であり、どの国の政府とも提携していないという声明を発表しました。 さらに、ハッカーは、社会への悲惨な結果を回避するために、犠牲者を慎重に選択し続けることを約束しました。

グループの声明がウェブサイトに公開されてから数日後、ハッカーによって盗まれたとされる他の3社の文書の要約がDarkSide Leaksに表示されましたが、データ自体は公開されていません。 攻撃された3社のうち1社目は米国、2社目はブラジル、3社目はスコットランドにあり、いずれも重要なインフラストラクチャに関与していません。 コロニアルパイプラインの場合のように、3つの会社はすべて、事業の中断は一般の人々に深刻な結果をもたらさないほど十分に小さいものでした。

5月14日、DarkSideグループは、日本の電気工学会社東芝のフランス支社からの機密データの盗難を発表しました。 報告によると、740 GBの情報が盗まれました。この情報には、会社の経営陣の仕事や新しいビジネスプロジェクトに関する情報、および従業員の個人データが含まれています。

5月14日に判明したことですが、Darksideのサーバーはシャットダウンされました。 グループ化トピックもアンダーグラウンドフォーラムから削除されました。 サイバー犯罪者は、ブログ、支払いサーバー、CDN(コンテンツ配信ネットワーク)サーバーなど、インフラストラクチャの公開部分にアクセスできなくなりました。 ハッカーはまた、さらなる犯罪活動に新たな制限を導入しました。 社会セクター(医療、教育機関)や政府機関を攻撃することはありません。 身代金をまだ支払っていない影響を受ける企業は、データを復号化するためのツールを受け取ります。

■コロンビア特別区警察署(米国)へのランサムウェア攻撃

ランサムウェアに関連するもう1つの注目すべき話は、Babukグループによるワシントンの警察官の個人データの公開です。 先月知られるように、強奪者はコロンビア特別区警察署(米国)を攻撃し、身代金が支払われなかった場合に犯罪捜査のデータを公開し、警察の情報提供者を開示すると脅迫しました。  5月11日、攻撃者は身代金の支払い交渉が行き詰まり、警察官の20の個人ファイルを公開したと述べました。

■6年前のApp Storeユーザーに対するサイバー攻撃

Epic GamesとのAppleの訴訟の一環として、6年前のApp Storeユーザーに対する主要なサイバー攻撃の詳細が明らかになり、Apple社はこれについて黙秘していました。  2015年9月21日、Appleのマネージャーは、1億2800万人のユーザーのデバイスに感染する25,000の悪意のあるアプリケーションを発見しました。 合計で、マルウェアは2億300万回ダウンロードされました。

■資格情報を盗む偽のGoogle Chrome

Pradeoの専門家は、新しいAndroidマルウェアがサイバー犯罪者によってGoogleChromeアプリとして悪用されていると警告しています。 偽のアプリは、サイバー犯罪者がフィッシングを使用して被害者から資格情報を盗む、洗練されたハイブリッドマルウェアキャンペーンの一部です。 専門家によると、偽のGoogle Chromeが、過去数週間で数十万台のAndroidデバイスにインストールされています。

■Androidデバイス用のバンキング型トロイの木馬

次に、Cleafyの研究者は、ユーザーの資格情報とSMSメッセージを盗むことができるAndroidデバイス用のバンキング型トロイの木馬を特定しました。 犯罪者は、スペイン、ドイツ、イタリア、ベルギー、オランダの銀行アプリケーションのユーザーを標的としています。  TeaBot(Anatsaとも呼ばれる)と呼ばれるマルウェアは、開発の初期段階にあります。

■米国ペンシルベニア州の2つの水道システムへの攻撃

先週、重要なインフラストラクチャへの攻撃の報告がないわけではありません。 WaterAction Response Networkは、米国ペンシルベニア州の2つの水道システムが「サイバー侵入」されたことを電子メールでメンバーに通知しました。 手紙によると、ハッカーは企業ネットワークにリモートアクセス用のWebシェルをインストールしました。 攻撃が検出されて停止され、FBIが調査を開始しました。 組織は企業の名前を明らかにしなかった。

■ドイツ企業に対するサイバー攻撃
ドイツ連邦憲法擁護庁
(BundesamtfürVerfassungsschutz、BfV)は、イランのハッカーが被害者をだましてマルウェアをインストールさせたドイツ企業に対するサイバー攻撃を非難しました。 報告書によると、攻撃はドイツの組織から機密情報にアクセスするための大規模なイランのキャンペーンの一部です。

■ロシア連邦行政当局に対する攻撃

ロシア連邦行政当局に対する専門のサイバーグループによる一連の標的型攻撃は、RostelecomとNKTsKIの専門家によって特定されました。 ハッカーの主な目標は、ITインフラストラクチャを完全に侵害し、孤立したセグメントからのドキュメントや主要な従業員の電子メール通信などの機密情報を盗むことでした。