今回の記事では2025年3月のニュースまとめをお届けします。
🔍 2,000万件の日本銀行顧客情報、ダークウェブとTelegramで拡散
• 3月1日、日本の銀行顧客データファイル(Excel形式)が、ダークウェブのハッキングフォーラム「XSS」で共有されていることが確認されました。
• フォーラムユーザー「sqlemma」が投稿したもので、日本の銀行顧客とみられる個人情報が添付ファイルとしてアップロードされました。
✓ 流出情報:氏名、性別、生年月日、IDカード番号、取引金額、住所、電話番号など、約2,000万人分。
• 投稿内には、脅威アクターのTelegramチャンネルとプロフィールリンクが掲載されており、同じデータはTelegramチャンネル上でも拡散されています。
🔍 UAE国防省の管理者アクセス、ダークウェブのハッキングフォーラムで販売
• 2月28日、ダークウェブのハッキングフォーラム「BreachForums」で、UAE国防省内部システムへのVPN管理者アクセスが販売されている投稿が確認されました。
• 販売者「nxe」は、UAE国防省VPN管理者アクセス権と複数の機密文書を7,000ドルで販売し、管理者権限のない一般アクセスは900ドルで提供すると記載しています。
• S2Wのプロファイリングツール「DarkSpider」によると、「nxe」は3月5日、UAE国防省が発行する軍事雑誌の管理パネルアクセスも販売する投稿を行っています。
🔍 台湾の病院患者データベースが侵害、Webサイトもアクセス不可
• 2月28日、台湾の馬偕記念病院のデータベースが、脅威アクター「Crazyhunter」により窃取され、ダークウェブのハッキングフォーラム「BreachForums」でサンプルデータが確認されました。
• 脅威アクターは、約1,600万人分の個人情報(氏名、連絡先、住所、生年月日、医療記録など)を販売し、サンプルデータへのURLも提供しています。
✓ 販売者は、サンプルデータを販売目的ではなく、病院を10日間脅迫するために使用すると述べています。
• 3月5日、「Crazyhunter」は盗まれたデータのオークションを開始し、開始価格は10万ドルとされました。
✓ 脅威アクターによると、影響を受けた台湾の病院は「台北病院」「淡水病院」「台東病院」「新竹病院」とされています。
🔍 台湾投資会社「Y」の55万件の顧客情報、中国ダークウェブフォーラムで販売
• 2月23日、台湾の投資会社「Y」の約55万件の顧客情報が、中国のダークウェブハッキングフォーラム「CABYC」で399ドルで販売されました。
✓ 「Y社」は、年商7億3,290万ドルを誇る企業で、APAC地域を中心に事業を展開しています。
• フォーラムユーザーが公開したサンプルデータによると、流出した情報には氏名、メールアドレス、電話番号、「Y社」のアクセスログが含まれています。販売者は、データは今月時点の「Y社」顧客情報であると主張しています。
• 同じ投稿は、1月24日に中国のハッキングフォーラム「DeepMix」にもユーザー「1881680」により投稿されており、S2Wのプロファイリングツールによると、「1881680」は金融機関顧客データを積極的にアップロードしているとされています。
🔍 インドネシア国軍のデータ流出、BASHEランサムウェア集団と関連
• 2月26日、インドネシア国軍のWebサイトがBASHEランサムウェア集団により侵害されたことが確認されました。
✓ BASHEランサムウェア集団は、昨年4月に「APT73」として登場した集団です。
• ランサムウェア集団が公開したサンプルデータには、軍関係者の氏名、軍番号、階級、所属部隊、生年月日、電話番号、勤務先住所が含まれています。
• BASHEランサムウェア集団は、2月28日に盗まれたデータを公開すると予告しています。
🔍 世界的自動車グループ「J」の内部文書、ダークウェブフォーラムで流出
• 3月10日、ダークウェブハッキングフォーラム「BreachForums」にて、世界的自動車グループ「J」の内部文書が共有されていることが確認されました。
• 販売者「Rey」は、機密文書、ソースコード、社員の氏名、メールアドレス、勤務先などを含む約700件の内部文書を投稿しました。
• フォーラムユーザー「Rey」は、3月7日にも世界的自動車グループ「R」の内部文書を無料で公開しており、そのデータ侵害はHellCatランサムウェア集団によるものと説明しています。
✓ HellCatランサムウェア集団は、2月にドイツのIT企業「O」を侵害しており、「Rey」によれば「O社」の顧客である「Rグループ」も被害を受けたとされています。
🔍 イラン・北朝鮮の軍事機密情報、ダークウェブで販売
• 3月18日、ダークウェブフォーラム「RAMP4U」にて、ユーザー「Lecter」がイラン革命防衛隊(IRGC)および北朝鮮の秘密ミサイル基地に関する機密情報を販売する投稿を行いました。
✓ 流出データ:IRGC構成員の個人情報および内部運営情報、北朝鮮の秘密ミサイル基地の地理情報と主要関係者の情報。
• 今年1月には、別のダークウェブフォーラム「OnniForums」にて、ユーザー「ssteve」が同様の北朝鮮情報を販売していたことが確認されています。
🔍 世界的ソフトウェア企業「O」、600万件の顧客情報がダークウェブに流出
• 3月20日、世界的ソフトウェア企業「O」の約600万件の顧客情報が、ダークウェブハッキングフォーラム「BreachForums」に流出していることが確認されました。
• フォーラムユーザー「rose87168」は、被害者のクラウドログインサーバーを侵害し、Single Sign-On(SSO)およびLDAP情報を窃取したと主張しています。
• 投稿によると、脅威アクターは既に被害者に通知し、72時間以内の「交渉」を要求しています。
→ 通常、SSOやLDAP情報が脅威アクターに渡ると、ランサムウェア攻撃、企業評判の失墜、パートナー企業へのサプライチェーン攻撃などの二次被害が発生する可能性があります。
🔍 中東国際航空の管理者アクセス、ダークウェブで販売
• 3月26日、ロシアのハッキングフォーラム「XSS」にて、中東国際航空の管理システムアクセスが5,000ドルで販売されました。
• 販売者「budda12」は、ドメイン管理者のログイン情報およびFortinetネットワーク構成レポートが含まれていると主張しています。1月にはFortinet認証情報の大規模流出がダークウェブで確認されています。
• S2Wのプロファイリングツール「DarkSpider」によると、販売者は主に民間企業を標的とするInitial Access Broker (IAB)であると特定されています。
以上、3月のニュースまとめをお届けしました。
私たちの記事がためになった方や続きが気になる方は是非フォローお願いします!
📬 Darkpedia: https://s2w.inc/ja/resource/detail/418