Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。
Citrix Systemsのネットワーク機器「NetScaler ADC」「NetScaler Gateway」に脆弱(ぜいじゃく)性「Citrix Bleed」(CVE-2023-4966)が見つかった。サイバーは犯罪集団「LockBit」はCitrix Bleedをランサムウェア(身代金要求型マルウェア)攻撃活動に積極的に使っているとみられる。どのような対処が必要なのか。攻撃を受けた銀行を例にして見てみよう。
金融機関向けセキュリティ団体FS-ISACはCitrix Bleedについて、幾つかのリスクを指摘している。例えば、この脆弱性が存在する製品から認証トークンを盗み出し、ユーザー企業のセッションを乗っ取ることが可能だという。FS-ISACによると、ユーザー企業はCitrix Bleedのパッチ(修正プログラム)を適用しても完全な保護策にはならない可能性がある。
攻撃者セッションを乗っ取ることで、多要素認証(MFA)による認証を回避してアプリケーションへのアクセス権を入手できるとFS-ISACは説明する。トークン情報が流出したら、パッチ適用後もそのトークンを使った侵害が可能ということだ。
FS-ISACはCitrix Bleedを悪用した攻撃に関して、ネットワーク探索、資格情報の盗み取り、リモートデスクトッププロトコル(RDP)を使用したネットワーク移動といった行為を観測しているという。中でも、LockBitが仕掛けているランサムウェア攻撃への注意が必要だ。FS-ISACは、LockBitがCitrix Bleedを悪用してランサムウェア攻撃を仕掛けている実例が報告されていると説明する。
ランサムウェア攻撃の被害者になったとみられる組織の一つが、中国工商銀行(ICBC)だ。FS-ISACセキュリティ研究員のケビン・ボーモント氏によれば、中国工商銀行はCitrix Bleedのパッチを適用していなかった。同銀行はLockBitによるランサムウェア攻撃を受けたかどうかについてコメントしていない。
FS-ISACによると、LockBitは標的システムに入り込むためにRDPの悪用やドライブバイダウンロード(マルウェアを秘密裏にダウンロードさせる攻撃)、フィッシング攻撃といった手口を使っている。LockBitはMicrosoftのOS「Windows」の他に、Appleの「macOS」や「Linux」といったOSを採用している組織も標的にしているという。
LockBitがランサムウェア攻撃に使っているのは、Citrix Bleedだけではない。Fortraのファイル転送管理ツール「GoAnywhere MFT」の脆弱性「CVE-2023-0669」も悪用されているとFS-ISACは注意を呼び掛ける。ユーザー企業の防御策としては、フィッシング攻撃対策やMFAの採用、ネットワークの細分化、攻撃を想定した復旧計画の実装といったことが有効だという。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
在任期間は短くても将来は明るい? データが示すCMO職のさらなる出世の可能性
CMOの約3分の2はポジションを離れた後、社内で昇進するか、他のブランドで同等またはより...
「押し付けがましい広告」が配信されたとき、消費者はどう感じるか
消費者は個人データに依存した広告よりも、記事などのコンテンツの文脈に沿っている広告...
SNS発信のベストな時間帯(2025年版) InstagramとFacebook、TikTokでどう違う?
Hootsuiteが2025年版のソーシャルメディア最適投稿時間を公開。各プラットフォームごとの...
ITmediaはアイティメディア株式会社の登録商標です。
