毎週、Information Security Media Groupは世界各地のサイバーセキュリティ事件と侵害事案をまとめてお届けします。今週は、ハッカーがSpotifyのメタデータをスクレイピングした件、日産がサードパーティの侵害を開示した件、データブローカーの漏えいでアルゼンチン人の数百万人が露出した件、アフリカ当局による大規模なサイバー犯罪取り締まり、ナイジェリア警察がRaccoonO365の運営者を逮捕した件、米司法省がATMジャックポッティング集団を起訴した件、そしてNefilimランサムウェアのアフィリエイトが有罪を認めた件です。
Spotifyのライブラリがスクレイピングされ、ハクティビストが音声ファイルとメタデータを主張
「Anna’s Archive」を名乗る海賊系アクティビストグループがSpotifyの音楽ライブラリをスクレイピングし、人気ストリーミングプラットフォームのメタデータをオンラインに投稿しました。
ハクティビストはブログ投稿で、データのスクレイピングには2億5,600万行のトラック記録と8,600万の音声ファイル、すなわち約300テラバイト分のメタデータが含まれていたと述べました。12月21日時点で、同グループが公開したのはメタデータのみで、音楽ファイルは公開していません。
「もちろんSpotifyが世界中のすべての音楽を持っているわけではないが、素晴らしい出発点だ」とAnna’s Archiveは述べました。2022年11月に立ち上げられた同グループは、通常は「人類の知識と文化を保存する」という名目上の使命の一環として、書籍や学術論文に焦点を当てています。Spotifyのスクレイピングについては、「主に保存を目的とした音楽アーカイブ」を構築する取り組みだと説明しました。
この事件を受け、Spotifyの担当者は「不正アクセスに関する調査により、第三者が公開メタデータをスクレイピングし、DRMを回避する不正な手口を用いてプラットフォーム上の一部音声ファイルにアクセスしたことが判明した」と述べました。本件に関する調査は現在も継続中です。
作曲家であり、アーティストの著作権保護を訴える活動家でもあるEd Newton-Rexは、流出した音楽ファイルはおそらくAIモデルの開発に使われるだろうとThe Guardianに語りました。「AI業界では海賊版素材での学習が残念ながら一般的なので、この盗まれた音楽はほぼ確実にAIモデルの学習に使われることになる」と同氏は述べました。ソーシャルメディア大手は、海賊版書籍の82テラバイトのファイルを学習データとして使用したことで有名です。
サードパーティのデータ侵害で日産の顧客情報が露出
日本の自動車メーカー日産は、Red Hatで発生したサードパーティのデータ侵害により、数万人規模の顧客が影響を受けたと発表しました。
同社によると、この侵害は9月下旬の事件に起因しており、脅威アクターがRed HatのGitLabインスタンスに不正アクセスしました。そこにはサンプルコード断片、社内コミュニケーション、プロジェクト仕様が含まれていました。Red Hatは10月上旬に侵害を開示し、ハッカーが28,000の異なるGitLabリポジトリから数百ギガバイト相当の機微データを盗み出したと述べました。サイバー恐喝グループCrimson Collectiveが9月の侵害の犯行声明を出しています。
日産によれば、Red HatのGitLabリポジトリに含まれていた顧客情報には、氏名、住所、電話番号、メールアドレスの一部、ならびに販売活動に関連する情報が含まれていました。侵害されたリポジトリにはクレジットカード情報や金融データは保存されていなかったと日産は述べています。
これは日産にとって今年2件目の重大なセキュリティインシデントとなります。最初は8月下旬に、ランサムウェアグループQilinが同社の設計子会社Creative Boxを攻撃した件でした。
SudamericaDataのダークウェブ流出で数百万人が露出
ブエノスアイレス拠点のデータブローカーSudamericaDataに関連するとされる大量の個人データが、犯罪フォーラムでダウンロード可能になっており、アルゼンチン史上最大級のデータ漏えいの一つとなる可能性があります。データセットは1テラバイトを超えます。
個人や企業に関する詳細レポートを販売していることで知られるSudamericaDataは、2023年に裁判所命令で閉鎖された後も、「WorkManagement」という名称で事業を継続していたとされています。公開を行った脅威アクターは、この開示を同社の所有者と内部運営の暴露として位置づけました。同社は、裁判官に対する違法なスパイ行為をめぐる2023年のスキャンダルに関与していたと報じられています。
オンラインで出回っているファイルには、非公開の市民データベース、車両所有情報、職歴および給与、さらに電話番号、メールアドレス、住所といった記録を含む、数百万人のアルゼンチン人に紐づくデータベースが含まれていると報じられています。また、このデータセットには、同社インフラに関連するウェブサイトのソースコードや内部アプリケーションファイルも含まれているとされています。
アフリカの警察が広域サイバー犯罪一斉摘発で574人を逮捕
アフリカ各地の警察は、インターポールが調整したサイバー犯罪作戦の一環として、574人の容疑者を逮捕し、不正資金約300万ドルを押収しました。
「オペレーション・センチネル」と名付けられたこの1カ月間の取り組みは、10月下旬から11月にかけて実施され、19カ国の警察組織が参加しました。捜査当局は、ビジネスメール詐欺(BEC)、ランサムウェア、デジタル恐喝の手口を標的にしました。
当局は、未遂または実害として2,100万ドル超の損失に関連する事案を特定しました。この作戦により、数千の悪性リンクと複数のランサムウェア亜種が無力化され、そのうちいくつかは復号に成功し、被害者は身代金を支払うことなくデータを回復できました。
この取り締まりは、大陸全体でサイバー犯罪がより広範に増加している状況の中で行われました。最近の法執行機関による評価では、西アフリカおよび東アフリカの一部地域で、サイバー犯罪が報告犯罪全体の30%超を占めるようになっていることが示されています。また、調査対象国の3分の2が、デジタル犯罪が自国管轄における犯罪の「中〜高」割合を占めると回答しました。オンライン詐欺、フィッシング、ランサムウェア、ビジネスメール詐欺が、複数地域で報告される事案の中心となっています。
ナイジェリア、RaccoonO365フィッシングキャンペーンの運営者とされる人物を拘束
ナイジェリア警察の国家サイバー犯罪センターは、Okitipi Samuel(「RaccoonO365」「Moses Felix」とも名乗る)を逮捕し、世界的にMicrosoft 365のメールアカウントを侵害するために用いられたフィッシング作戦の開発者とみられる人物だと特定しました。
警察によると、SamuelはRaccoonO365を構築・運用しており、これは企業・金融・教育機関から認証情報を窃取するための偽のMicrosoftログインページを生成する、フィッシング・アズ・ア・サービス(PhaaS)プラットフォームでした。このサービスはサブスクリプションモデルで運営され、既製のフィッシングテンプレートとインフラを有料で提供していました。
2025年1月から9月にかけて、攻撃者はMicrosoftの認証プロンプトを模したフィッシングメールを用いて企業のメールシステムに不正アクセスし、ビジネスメール詐欺、データ窃取、複数の法域にわたる金銭的損失を引き起こしました(参照:侵害事案まとめ:MicrosoftとCloudflareがRaccoonO365を解体)。
ナイジェリア警察によれば、SamuelはTelegramチャンネルで暗号資産と引き換えにフィッシングリンクを販売し、盗用または不正に入手した認証情報を使ってCloudflare上に偽ログインポータルをホストしていました。アクターはCAPTCHAやアンチボット制御を用いて自動検知を回避していました。
ラゴス州とエド州での連携作戦中に、追加で2人の容疑者が逮捕され、キャンペーンに関連するノートPCやモバイル端末が押収されました。当局は、この2人がフィッシングプラットフォームの開発または運用に関与していたことを示す証拠はないと述べました。
司法省、ATMジャックポッティング計画でTren de Araguaのメンバー54人を起訴
米連邦検察は、Ploutusマルウェアを用いた数百万ドル規模のATMジャックポッティング詐欺に関与したとして、ベネズエラのギャングTren de Araguaのメンバーおよび指導者とされる54人を起訴したと、米司法省が発表しました。
ネブラスカ州の大陪審は、被告らを銀行詐欺、銀行侵入、コンピュータ詐欺、資金洗浄、ならびにテロリストへの物的支援提供の共謀で起訴しました。検察は、同グループがATMにPloutusを感染させ、カードや顧客の認証情報を使わずに現金を払い出させたと主張しています。
CrowdStrikeのセキュリティ研究者によれば、Ploutusは10年以上前にメキシコで初めて確認されたATMジャックポッティング用マルウェアのファミリーで、Ploutus-Dを含む複数の亜種へと進化してきました。Microsoft .NETで書かれた複数の亜種により、ATMに物理的にアクセスできる攻撃者は、業界標準のXFSミドルウェアを介して現金払出装置と直接やり取りし、銀行の認可制御を回避できるとされています(参照)。
脅威アクターは複数州にわたってATMを標的にし、違法収益として数百万ドルを得たとされています。
米財務省外国資産管理局(OFAC)は7月、Tren de Araguaの最高幹部であるHector「Niño Guerrero」Rusthenford Guerrero Floresと主要関係者5人を含む上層部に制裁を科し、西半球における麻薬取引、人身密輸、恐喝、性的搾取、資金洗浄への関与を理由に同グループを「外国テロ組織」と位置づけました。
ウクライナ国籍の男、Nefilimランサムウェア共謀で有罪を認める
ウクライナ国籍のArtem Stryzhak(35)は、米国内および海外の企業を標的とした大規模なNefilimランサムウェア・キャンペーンに関与したとして、コンピュータ詐欺を行う共謀罪についてブルックリンの連邦裁判所で有罪を認めました。
米司法省は金曜日、Stryzhakが企業ネットワークにNefilimランサムウェアを展開して身代金支払いを要求することで、コンピュータ詐欺を行う共謀に加担したことを認めたと発表しました。
「Nephilim」とも綴られる同グループは2020年3月に出現しました。現在は活動していないように見えるものの、Nefilimは今 दशकの初めに注目を集め、家電大手Whirlpoolを攻撃し、未パッチのCitrixゲートウェイも標的にしました。
検察によれば、Stryzhakはアフィリエイトとして活動し、収益の分配と引き換えに、グループ管理者が提供するランサムウェアのインフラを利用していました。Stryzhakは2024年にスペインで逮捕され、今年初めに米国へ身柄引き渡しされました。
米当局によれば、このランサムウェア作戦はVolodymyr Viktorovych Tymoshchukが統括しており、同人は現在も逃走中です。Tymoshchukは、世界中で数百件の攻撃に関連するNefilim、LockerGoga、MegaCortexの各ランサムウェア亜種の運用に関与した疑いにより、FBIおよびユーロポールの最重要指名手配逃亡者リストに掲載されています(参照:米連邦当局、LockerGogaおよびMegaCortexランサムウェアのハッカーを起訴)。
先週のその他のニュース
- OpenAIはプロンプトインジェクション攻撃と永遠に戦い続ける
- フェニックス大学のデータ侵害:350万人が影響
- 米国はサイバー空間で攻勢に出るべきだと報告書が警告
- WatchGuard、悪用が進行中のファイアウォールのゼロデイを修正
- Urban VPNのプロキシがAIチャットボットの会話を盗み見
ニュージャージーのInformation Security Media GroupのGregory Siricoによる報道を含む。
翻訳元: https://www.databreachtoday.com/breach-roundup-spotify-metadata-dumped-online-a-30393
