cronマルウェア、GCPマイニング、パナソニック、入国者健康確認システム、gmai[.]com
「cron」ジョブに潜むマルウェアが発見される--実行日を存在しない日付に設定 - ZDNet Japan 11/29
https://japan.zdnet.com/article/35180063/
2月31日付のジョブとしてcrontに潜む、という説明だけだとわかりにくいが実体をbase64エンコーディングしてcrontabに書き込むという手法。
New Linux malware hides in cron jobs with invalid dates
侵害されたクラウドインスタンスの多くで暗号資産マイニング--グーグルのレポートで明らかに - ZDNet Japan 11/29
https://japan.zdnet.com/article/35180066/
脆弱なインスタンスの80%がデプロイ後24時間以内(最短30分)に侵入され、最短22秒でマイニングツールをインストールされるという。
【セキュリティ ニュース】パナソニックのサーバにサイバー攻撃 - 6月以降複数回にわたり:Security NEXT 11/29
https://www.security-next.com/131964
新聞系で26日に既報の件。
【セキュリティ ニュース】入国者健康確認システムで不具合、他申請者からパスポートなど閲覧可能に:Security NEXT 11/29
https://www.security-next.com/131948
日本政府が導入した「入国者健康確認システム(ERFS)」が、11/25に運用開始したが同日18時45分にシステム停止する羽目に。
海外からの入国者について雇用等の受け入れ先が情報を登録するシステム。53組織170人のパスポート、誓約書、活動計画、在留資格認定証明書などの画像のうち28組織34人分について、別の26組織から閲覧可能だったのが判明したため。受託していたのは、日本エマージェンシーアシスタンス。
別の記事によると、複数ユーザが同時にアップロードすると相手の資料が見える状態だったとか。
【セキュリティ ニュース】複数職員が個人メアドに資料送付、スペルミスで第三者へ - 新潟県:Security NEXT 11/29
https://www.security-next.com/131953
gmai[.]com問題。11/26 15時半と同じく23時過ぎに、県職員が私用のgmailアカウントに無許可で資料を送付しようとして送信先ドメインをタイプミスした。
パナソニック、つるぎ町立半田病院、都留信組、就活i-Plug
パナソニック
サーバーに不正アクセス パナソニック、サイバー攻撃か: 日本経済新聞 11/27
https://www.nikkei.com/article/DGKKZO77943300W1A121C2TB2000/
26日、不正アクセスがあったと発表。想定されていないサーバからのアクセスがあったため調査を実施、11日に不正アクセスが判明。
不正アクセスされたサーバには、取引先情報・従業員の個人情報、技術情報などがあった。
パナソニック 不正アクセス受ける 情報流出ないか確認急ぐ | IT・ネット | NHKニュース 11/26
https://www3.nhk.or.jp/news/html/20211126/k10013363971000.html
2021/11/11に社内ネットワークで異常を検知し調査したところ、2021/6/22から11/3にかけてサーバに対し複数回の不正アクセスがおこなわれたことが判明。
現時点で情報流出は確認されていない。
当社ファイルサーバへの不正アクセス発生について | プレスリリース | Panasonic Newsroom Japan
https://news.panasonic.com/jp/press/data/2021/11/jn211126-3/jn211126-3.html
「不審なアクセスにより、ファイルサーバのデータの一部が不正に読み出された」
身代金払わず2億円で新システム 徳島サイバー被害病院: 日本経済新聞 11/26
https://www.nikkei.com/article/DGXZQOUE25C3L0V21C21A1000000/
徳島県つるぎ町の町立半田病院。10/31にランサム攻撃に遭い、電子カルテをはじめ院内のシステムが暗号化された。
セキュリティ会社が復旧を試みたが戻らず、新システムに切り替え来年1月の復旧を目指す決定をした。
テレワーク用にFortinetの古いVPN装置を使っていたとのこと。
【セキュリティ ニュース】なりすましメール発生、ネットバンキングも一時利用不能に - 都留信組:Security NEXT 11/26
https://www.security-next.com/131910
11/23の7時~8時に都留信用組合を装うなりすましメールが、送信された。また、17時~21時にウェブサイトが閲覧できない状態になった。
【セキュリティ ニュース】取引先情報が登録されたスマホをタクシーで紛失 - i-Plug:Security NEXT 11/26
https://www.security-next.com/131919
新卒向け集荷すサイト運営のi-Plug社。11/12 0時半ごろ、タクシー利用時に業務用スマートフォンを紛失した。
取引先118件の氏名・会社名・電話番号などが登録されていた。タクシー会社等に連絡したが見つからず、リモートワイプを実施済みだという。
TSUTAYA、東京都認知症、靴クロスロード、津、経済同友会、オムニEC
【セキュリティ ニュース】顧客向けのメールで誤送信、メアドが流出 - フタバ図書:Security NEXT 11/25
https://www.security-next.com/131878
フタバ図書は運営するTSUTAYA GIGA福岡春日店で、アドレスが見える形でメール配信。被害94件。
【セキュリティ ニュース】「とうきょう認知症ナビ」に医師の自宅住所など誤掲載:Security NEXT 11/24
https://www.security-next.com/131833
東京都運営の情報サイト。本来医療機関の情報を掲載するところに誤って自宅の情報を記載。約3200件が掲載されているが、うち14人の情報が誤掲載された。
11/7に関係者からの指摘で判明。
【セキュリティ ニュース】新型コロナ対策のウェブアンケートが閲覧可能に - 婦人靴メーカー:Security NEXT 11/24
https://www.security-next.com/131836
婦人靴ブランド「あしながおじさん」「サヴァサヴァ」などの、クロスロード。セールをおこなう際に、会場に提出するためのコロナに関連した健康調査アンケートをGoogleフォームを使って実施したが、設定誤りで他人の回答が見える状態だった。
11月18日19時から19日9時10分に回答した、最大155人分の情報が閲覧可能だった。
【セキュリティ ニュース】通知メール誤送信で介護保険事業者のメアド流出 - 津市:Security NEXT 11/24
https://www.security-next.com/131831
三重県津市。11/18に介護保険事業者298社に一斉送信したメールで、送信先アドレスをToに設定した。
【セキュリティ ニュース】経済同友会、複数端末に不正アクセス - サーバのアラート契機に発覚:Security NEXT 11/22
https://www.security-next.com/131810
8月にクラウド上のサーバでリスク「低」のアラートが発報、2020年のランサム被害を受けて検知レベルを上げていたため誤検知を疑いつつ調査したところ、攻撃が発覚。
対策後もアラートが続き、調査したところオンプレ側のサーバでもアラートが見つかり、事務局員の端末が不正アクセスされていることが判明した。端末上の約4000件のファイルが閲覧された可能性。持ち出しの痕跡は見つかっていない。
【セキュリティ ニュース】住所移転の案内メールを誤って「CC」送信 - BOSCH関連会社:Security NEXT 11/19
https://www.security-next.com/131757
交通事故対応のボッシュサービスソリューションズ。11/10に24時間緊急通報サービスの利用者300人への住所移転案内をアドレスとCCに設定したメールで通知した。
【セキュリティ ニュース】資料のメール送信時に講座参加者のメアドが流出 - 滋賀県産業支援プラザ:Security NEXT 11/19
https://www.security-next.com/131759
滋賀県産業支援プラザ。11/17にセミナー参加者10名に資料を送付する際、アドレスが見える形で送信した。
【セキュリティ ニュース】サイトが改ざん被害、残存した旧CMSの脆弱性が標的に - サンメディア:Security NEXT 11/18
https://www.security-next.com/131558
サーバ上にあった、旧サイトで利用していたMovableTypeの脆弱性をついて、稼働中のWordPressが改ざんされた。
11/7 9時ごろにサーバの異常に気付き、不正アクセス元を遮断。
【セキュリティ ニュース】顧客向けセミナー案内メールを「CC」送信 - 電通国際情報サービス:Security NEXT 11/17
https://www.security-next.com/131682
11/11。セミナーの案内メール送信時に、メールアドレス480件をCCに設定。
【セキュリティ ニュース】通販サイトへの不正アクセス、クレカ流出の調査結果が判明 - グラントマト:Security NEXT 11/17
https://www.security-next.com/131604
通販サイト「グラントマトオンラインショップ」。他社でも不正アクセスが発生している、ジーアールのオムニECシステムを利用していた。
4月7日から8月19日に利用した349件の、CVVを含むカード情報が流出した可能性がある。
【セキュリティ ニュース】骨盤ベルト通販サイトに不正アクセス - クレカ情報など流出した可能性:Security NEXT 11/16
https://www.security-next.com/131625
骨盤ベルトの通販サイト「トコちゃんドットコムECサイト」6/17から7/2に商品を購入した507人の個人情報が流出の可能性。CVVを含むカード情報。
7/6に不正なファイルを発見して発覚。
【セキュリティ ニュース】利用ECシステムへ不正アクセス、顧客情報流出の可能性 - 杏林堂薬局:Security NEXT
https://www.security-next.com/131486
「杏林堂オンラインショップ」。ジーアールのオムニECシステム。3/25から8/19に利用した個人情報6882件とCVVを含むカード情報322件が流出の可能性。
3/23に不正プログラムを設置された。
【セキュリティ ニュース】無料PCR検査の連絡で3度にわたりメール送信ミス - 三重県:Security NEXT 11/9
https://www.security-next.com/131384
三重県からPCR検査を受託している名鉄観光サービス。10/22に1回10/24に2回、検査申込者複数人へのメールでアドレスをToに設定したことで互いにメールアドレスが閲覧できた。 合計9人。
【セキュリティ ニュース】ライトオンに不正アクセス、会員の個人情報が流出:Security NEXT 11/4
https://www.security-next.com/131328
ライトオン公式オンラインショップ会員の個人情報24万7600件の流出が10/30に判明した。
10/27に異常なアクセス件数を検知し、調査して23日から攻撃されていたことが判明。対策を行ったが29日も攻撃が続き、通信を遮断した。
10/30に流出データに個人情報が含まれていたことが判明。
FBIから偽メール、ロビンフッド500万人
FBIにハッキング、偽メールを大量送信--原因はポータルの不備 - ZDNet Japan 11/15
https://japan.zdnet.com/article/35179462/
FBIが州や地方の担当とのやり取りに使う、LEEP(Law Enforcement Enterprise Portal)というポータルの「設定不備」により、fbiのドメインから大量のメールを送信された。
Spamhausによると、犯行は2回。Krebs on securityによれば、LEEPのアカウント申請画面で確認用ワンタイムパスワードが送信される際に、HTMLソースにワンタイムパスワードが含まれており悪用可能だったという。
株取引アプリのRobinhood、顧客数百万人の情報流出 - ZDNet Japan 11/9
https://japan.zdnet.com/article/35179159/
内容は日経と同じだけど、こっちが三日早い。
経済同友会、emotet、オリンパス、出し子逮捕、Webメール、アクシオン
同友会、Eメールなど4000件流出か 不正アクセス被害: 日本経済新聞 11/19
https://www.nikkei.com/article/DGXZQOUA19AMC0Z11C21A1000000
8月にクラウド上のサーバに警告がでて発覚。(ランサムのメッセージか?)
事務局のパソコンが不正アクセスを受け、文書やメール約4000件。
最恐ウイルス「エモテット」サイバー攻撃再開 日本でも: 日本経済新聞 11/19
https://www.nikkei.com/article/DGXZQOUC17D7N0X11C21A1000000
JPCERTの警告を受けた記事。タイトルがダサい。
MBSD吉川氏のコメントで特徴がemotetとほぼ同じ、と。
オリンパス、サイバー攻撃で米法人操業に影響: 日本経済新聞 11/18
https://www.nikkei.com/article/DGKKZO77669340Y1A111C2TB2000
10/10に発覚した不正アクセスで影響を受けたシステムが復旧したと発表。
この記事
富士通、イスラエルでセキュリティー研究 現地大と共同: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUC177HL0X11C21A1000000
ベングリオン大学とAIのセキュリティについて共同研究。
ネットバンクで不正送金か 「出し子」役の容疑者逮捕: 日本経済新聞 11/16
https://www.nikkei.com/article/DGKKZO77590480V11C21A1CM0000
昨年10月以降に200人の口座から合計8500万円を引き出した疑い。
自宅から他人名義のキャッシュカードが30枚以上出土した。
3月に250万円を引き出したのが直接の逮捕容疑。
メールアカウント盗む偽サイト 被害1000件以上か: 日本経済新聞 11/12
https://www.nikkei.com/article/DGXZQOUC120QF0S1A111C2000000
JPCERTが注意喚起している。
- Webメールサービスのアカウントを標的としたフィッシングに関する注意喚起 11/16 https://www.jpcert.or.jp/at/2021/at210049.html
偽サイト対策、国内向けに特化し早期検知 アクシオン: 日本経済新聞 11/11
https://www.nikkei.com/article/DGXZQOUC046CT0U1A101C2000000
契約した企業のフィッシングサイトを探して報告するサービス。
記事ではテイクダウンまでやってくれるのかはっきりしない。初期10万、年額60万は安いか高いか。
ロビンフッド、ニュータッチ(ヤマダイ)
米ロビンフッドに不正アクセス 顧客情報700万人分流出: 日本経済新聞
https://www.nikkei.com/article/DGXZQOGN090KV0Z01C21A1000000
11/3夜にカスタマーサービスのシステムに不正アクセス。
500万人分のメールアドレスと200万人分の氏名、310人の生年月日、10人の詳細な個人情報が流出。
カード番号や社会保障番号は流出していない、とする。
なお、ロビンフッドの口座数は2240万。
カップ麺のヤマダイがサイト改ざん被害 15日復旧予定: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUC090TD0Z01C21A1000000
11/5に「ニュータッチ」のヤマダイが不正アクセスにより、サイトを改ざんされた。
11/8 13時よりメンテナンスのお知らせに切り替え、被害を公表。
NSO Group禁輸リスト入り、Happy Blog閉鎖
米政府、スパイウェア「Pegasus」開発企業を禁輸リストに追加 - ZDNet Japan
https://japan.zdnet.com/article/35178953/
商務省がNSO Groupをエンティティリストに掲載。
ランサムウェア集団「REvil」のサイト、米政府機関らがオフラインに? - ZDNet Japan
https://japan.zdnet.com/article/35178492/
REvilのリークサイト、Happy Blogが停止された。Reutersの報道によれば、FBIとNSCが関与しているという。
