先週のクラウドセキュリティ:Amazon、Softlayer等を狙うDDoS攻撃が増加等

先週のクラウド関連のセキュリテイ・トピックをダイジェストでお伝えする(写真:アフロ)

 11月10日週にかけて発生した、クラウド関連のセキュリテイ・トピックをダイジェストでお伝えする。

■Office365の管理者アカウントを狙うフィッシングキャンペーンを観測

 PhishLabsは、Office 365の管理者アカウントを侵害する広範なフィッシングキャンペーンを確認したと発表した。

 サイバー攻撃者がOffice365の管理者権限を狙う目的として、PhishLabsは次のように述べている。「Office 365の管理者は、ドメイン上のすべてのメールアカウントを管理可能であり、乗っ取ったドメインの信頼を利用して、新たな攻撃を送信することが可能になる。更にOffice 365管理者は多くの場合、組織内の他システムに対しても高い権限を持っていることが多く、攻撃者は組織内に新しいアカウントを作成してシングルサインオンシステムを悪用したりすることが可能になる。」

 ・本攻撃で確認された件名は以下の二件。

  Re: Action Required!

  Re: We placed a hold on your account

 ・本攻撃で確認された送信者名。実際にはメール毎にドメイン変数が異なる。

  "Services admin center"<MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e@redacted.com>

 ・本攻撃で確認されたPhishing URLs

 hxxp://www.clinicaccct[dot]com/srvt/index.php?m=redacted@email.com

 hxxp://www.aranibarcollections[dot]com/srvt/index.php?m=redacted@email.com

■AWS S3の設定ミスによって、麻薬およびアルコール中毒治療施設の患者データが公開される

カリフォルニア州、テキサス州、およびコロラド州にある麻薬およびアルコール中毒治療施設である、Sunshine Behavioral Health、LLC。ここに保管されていた約93,000の患者ファイルがAWSのS3の設定ミスによって誤って公開されていることを、DataBreaches.netが発見し公表した。含まれていた情報には、以下のデータが含まれていたという。

 ・フルネーム

 ・生年月日

 ・郵便番号およびメールアドレス

 ・電話番号

 ・部分的な有効期限(月/日)と完全なCVVコードを含む完全なクレジットカード番号

 ・健康保険の会員番号、口座番号、保険給付に関する明細書、支払額および支払額

なお、DataBreaches.netはSunshine Behavioral Healthに対して、データが公開状態であることを通知したが、Sunshine Behavioral Healthからは何の返答も無く、かつSunshine Behavioral Healthのウェブサイトにはこれらの情報が告知されておらず、公開されていた患者に対しても告知されているかも不明とのこと。しかし、公開権限設定の設定だけは、こっそり改善され現在は閲覧出来なくなっている。DataBreaches.netは、Sunshine Behavioral Healthのこういった対応がHIPPAの告知義務に違反しているとして、HHS OCRに報告するか検討しているという。

■Amazon、Softlayer等を狙うDDoS攻撃が増加

2019年10月から、TCP SYN-ACK リフレクション攻撃を利用したDDoS攻撃が増加している。TCP SYN-ACK リフレクションとは、TCPのSYNパケットを受信した機器が、送信元に対してSYN-ACKを送信する動作を利用している。TCP SYN-ACK リフレクション攻撃とはターゲットのIPアドレスを送信元アドレスとして偽装したTCP SYNパケットを、踏み台となる多数の機器 に大量に送信することにより、それらの機器からターゲット目掛けて大量のSYN-ACKを送信させる DDoS 攻撃手法の一つ。

ラドウェアの研究者によると、DDoS被害者のリストには、Amazon、SoftLayer、Eurobet Italia SRL、Korea Telecom、HZ Hosting、SK Broadbandなどの大企業が含まれているという。