2019年08月22日 10時05分 公開
特集/連載

5カ月間にわたる不正アクセスの疑いCitrixが「パスワードスプレー攻撃」で不正アクセス被害 なぜ防げなかった?

Citrix Systemsのシステムが「パスワードスプレー攻撃」を仕掛けられて不正アクセスされた。盗まれたのは一部のビジネスドキュメントのみだったとみられるが、どうすれば防ぐことができたのだろうか。

[Michael Heller,TechTarget]

関連キーワード

Citrix | 不正アクセス | 認証 | パスワード


画像

 Citrix Systems(以下、Citrix)がサイバー攻撃を受けた。同社が5カ月近くかけて調査した結果、顧客情報は不正アクセスを免れたものの、ビジネスドキュメントが盗まれていたことが分かった。

 「何者かが、よく使われるIDとパスワードの組み合わせを何組も使ってログインを試行する『パスワードスプレー攻撃』を仕掛け、当社の社内ネットワークに不正アクセスした」と、Citrix社長兼CEOのデービッド・ヘンシャル氏は説明する。この攻撃について同氏は「脆弱性が悪用されたわけではなく、Citrixの製品やクラウドサービスのセキュリティに対する影響は一切なかった」と強調する。同氏はブログ記事で以下の通り説明する。

当社の社内LANに侵入した攻撃者は、2018年10月13日から2019年3月8日の間で断続的にアクセスした。そこでビジネスドキュメント保存用の共有ネットワークドライブと、コンサルティング業務用のWebツールに関する共有ネットワークドライブなどのストレージから、ビジネスドキュメントを中心とするファイルを盗み出した。加えて個々の仮想ドライブと、ごく一部のユーザー企業のメールアカウントを侵害し、社内アプリケーションの幾つかを立ち上げた可能性がある。

専門家の見解

 「システムが不正アクセスされた可能性がある」と米連邦捜査局(FBI)がCitrixに連絡したのは2019年3月6日だった。つまりわずか2日で攻撃者によるアクセスを遮断したことになる。

 セキュリティ企業Rendition Infosecの創業者であり社長のジェイク・ウィリアムズ氏によると、今回のCitrixのように重大な不正アクセス事件において、「これほど迅速な対処は極めて異例」だという。「正直なところ、同社の対処の速さに驚いた。もっと時間がかかると思っていた。こうしたケースでは、対処に取り掛かる前に、攻撃者がアクセスに使っている全ての手段を特定することが極めて重要だ」(同氏)

 リスクコンサルティング企業The Media Trustのウスマン・ラヒム氏は、FBIに知らされるまで5カ月もの間、攻撃者がCitrixのシステムにアクセスしていた疑いがあると考える。「こうした攻撃では時間が非常に重要であり、今回の場合、攻撃者にはたっぷり時間があった」とラヒム氏は懸念を示す。CitrixのようなIT企業は、資産やインフラに関して優れたセキュリティ対策を講じていると、われわれは思いがちだ。だがCitrixの情報からは、それなりのセキュリティ対策を講じていても、システムへの不正アクセスを許してしまう構図が浮かび上がると同氏は指摘する。

二要素認証が有効な理由

 Citrixは今回の流出に際して、セキュリティベンダーFireEyeのエンドポイントセキュリティ技術を導入するなど、「システムの防御と手順強化のための大掛かりな措置を講じた」とヘンシャル氏は説明する。同氏によれば、Citrixが新たに実施した対策には以下のようなものがある。

ITmedia マーケティング新着記事

news006.gif

Amazon Alexa対応新型「Fire TV Cube」を差し上げます
メールマガジン「ITmedia マーケティング通信」を新規にご購読いただいた方の中から抽選...