Citrixが「パスワードスプレー攻撃」で不正アクセス被害 なぜ防げなかった？：5カ月間にわたる不正アクセスの疑い

Citrix Systemsのシステムが「パスワードスプレー攻撃」を仕掛けられて不正アクセスされた。盗まれたのは一部のビジネスドキュメントのみだったとみられるが、どうすれば防ぐことができたのだろうか。

[Michael Heller，TechTarget]

　Citrix Systems（以下、Citrix）がサイバー攻撃を受けた。同社が5カ月近くかけて調査した結果、顧客情報は不正アクセスを免れたものの、ビジネスドキュメントが盗まれていたことが分かった。

　「何者かが、よく使われるIDとパスワードの組み合わせを何組も使ってログインを試行する『パスワードスプレー攻撃』を仕掛け、当社の社内ネットワークに不正アクセスした」と、Citrix社長兼CEOのデービッド・ヘンシャル氏は説明する。この攻撃について同氏は「脆弱性が悪用されたわけではなく、Citrixの製品やクラウドサービスのセキュリティに対する影響は一切なかった」と強調する。同氏はブログ記事で以下の通り説明する。

当社の社内LANに侵入した攻撃者は、2018年10月13日から2019年3月8日の間で断続的にアクセスした。そこでビジネスドキュメント保存用の共有ネットワークドライブと、コンサルティング業務用のWebツールに関する共有ネットワークドライブなどのストレージから、ビジネスドキュメントを中心とするファイルを盗み出した。加えて個々の仮想ドライブと、ごく一部のユーザー企業のメールアカウントを侵害し、社内アプリケーションの幾つかを立ち上げた可能性がある。

併せて読みたいお薦め記事

不正アクセス事例

• MicrosoftのWebメール「Outlook.com」で不正アクセス　何が起きたのか？
• 「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か

不正アクセスに備える

• 不正アクセス被害の明治大学　二段階認証と「Microsoft 365」でどう対処したか
• 7pay事件で再考すべき「Webアプリケーション」のリスクと対策
• セキュリティを気にするなら最低限やっておきたい、不正アクセスを撃退する12の予防策

専門家の見解

　「システムが不正アクセスされた可能性がある」と米連邦捜査局（FBI）がCitrixに連絡したのは2019年3月6日だった。つまりわずか2日で攻撃者によるアクセスを遮断したことになる。

　セキュリティ企業Rendition Infosecの創業者であり社長のジェイク・ウィリアムズ氏によると、今回のCitrixのように重大な不正アクセス事件において、「これほど迅速な対処は極めて異例」だという。「正直なところ、同社の対処の速さに驚いた。もっと時間がかかると思っていた。こうしたケースでは、対処に取り掛かる前に、攻撃者がアクセスに使っている全ての手段を特定することが極めて重要だ」（同氏）

　リスクコンサルティング企業The Media Trustのウスマン・ラヒム氏は、FBIに知らされるまで5カ月もの間、攻撃者がCitrixのシステムにアクセスしていた疑いがあると考える。「こうした攻撃では時間が非常に重要であり、今回の場合、攻撃者にはたっぷり時間があった」とラヒム氏は懸念を示す。CitrixのようなIT企業は、資産やインフラに関して優れたセキュリティ対策を講じていると、われわれは思いがちだ。だがCitrixの情報からは、それなりのセキュリティ対策を講じていても、システムへの不正アクセスを許してしまう構図が浮かび上がると同氏は指摘する。

二要素認証が有効な理由

　Citrixは今回の流出に際して、セキュリティベンダーFireEyeのエンドポイントセキュリティ技術を導入するなど、「システムの防御と手順強化のための大掛かりな措置を講じた」とヘンシャル氏は説明する。同氏によれば、Citrixが新たに実施した対策には以下のようなものがある。