Citrix Systemsのシステムが「パスワードスプレー攻撃」を仕掛けられて不正アクセスされた。盗まれたのは一部のビジネスドキュメントのみだったとみられるが、どうすれば防ぐことができたのだろうか。
Citrix Systems(以下、Citrix)がサイバー攻撃を受けた。同社が5カ月近くかけて調査した結果、顧客情報は不正アクセスを免れたものの、ビジネスドキュメントが盗まれていたことが分かった。
「何者かが、よく使われるIDとパスワードの組み合わせを何組も使ってログインを試行する『パスワードスプレー攻撃』を仕掛け、当社の社内ネットワークに不正アクセスした」と、Citrix社長兼CEOのデービッド・ヘンシャル氏は説明する。この攻撃について同氏は「脆弱性が悪用されたわけではなく、Citrixの製品やクラウドサービスのセキュリティに対する影響は一切なかった」と強調する。同氏はブログ記事で以下の通り説明する。
当社の社内LANに侵入した攻撃者は、2018年10月13日から2019年3月8日の間で断続的にアクセスした。そこでビジネスドキュメント保存用の共有ネットワークドライブと、コンサルティング業務用のWebツールに関する共有ネットワークドライブなどのストレージから、ビジネスドキュメントを中心とするファイルを盗み出した。加えて個々の仮想ドライブと、ごく一部のユーザー企業のメールアカウントを侵害し、社内アプリケーションの幾つかを立ち上げた可能性がある。
「システムが不正アクセスされた可能性がある」と米連邦捜査局(FBI)がCitrixに連絡したのは2019年3月6日だった。つまりわずか2日で攻撃者によるアクセスを遮断したことになる。
セキュリティ企業Rendition Infosecの創業者であり社長のジェイク・ウィリアムズ氏によると、今回のCitrixのように重大な不正アクセス事件において、「これほど迅速な対処は極めて異例」だという。「正直なところ、同社の対処の速さに驚いた。もっと時間がかかると思っていた。こうしたケースでは、対処に取り掛かる前に、攻撃者がアクセスに使っている全ての手段を特定することが極めて重要だ」(同氏)
リスクコンサルティング企業The Media Trustのウスマン・ラヒム氏は、FBIに知らされるまで5カ月もの間、攻撃者がCitrixのシステムにアクセスしていた疑いがあると考える。「こうした攻撃では時間が非常に重要であり、今回の場合、攻撃者にはたっぷり時間があった」とラヒム氏は懸念を示す。CitrixのようなIT企業は、資産やインフラに関して優れたセキュリティ対策を講じていると、われわれは思いがちだ。だがCitrixの情報からは、それなりのセキュリティ対策を講じていても、システムへの不正アクセスを許してしまう構図が浮かび上がると同氏は指摘する。
Citrixは今回の流出に際して、セキュリティベンダーFireEyeのエンドポイントセキュリティ技術を導入するなど、「システムの防御と手順強化のための大掛かりな措置を講じた」とヘンシャル氏は説明する。同氏によれば、Citrixが新たに実施した対策には以下のようなものがある。
Copyright © ITmedia, Inc. All Rights Reserved.
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。
なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...
業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...