Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。
Citrix Systemsのネットワーク機器「NetScaler ADC」「NetScaler Gateway」に脆弱(ぜいじゃく)性「Citrix Bleed」(CVE-2023-4966)が見つかった。サイバーは犯罪集団「LockBit」はCitrix Bleedをランサムウェア(身代金要求型マルウェア)攻撃活動に積極的に使っているとみられる。どのような対処が必要なのか。攻撃を受けた銀行を例にして見てみよう。
金融機関向けセキュリティ団体FS-ISACはCitrix Bleedについて、幾つかのリスクを指摘している。例えば、この脆弱性が存在する製品から認証トークンを盗み出し、ユーザー企業のセッションを乗っ取ることが可能だという。FS-ISACによると、ユーザー企業はCitrix Bleedのパッチ(修正プログラム)を適用しても完全な保護策にはならない可能性がある。
攻撃者セッションを乗っ取ることで、多要素認証(MFA)による認証を回避してアプリケーションへのアクセス権を入手できるとFS-ISACは説明する。トークン情報が流出したら、パッチ適用後もそのトークンを使った侵害が可能ということだ。
FS-ISACはCitrix Bleedを悪用した攻撃に関して、ネットワーク探索、資格情報の盗み取り、リモートデスクトッププロトコル(RDP)を使用したネットワーク移動といった行為を観測しているという。中でも、LockBitが仕掛けているランサムウェア攻撃への注意が必要だ。FS-ISACは、LockBitがCitrix Bleedを悪用してランサムウェア攻撃を仕掛けている実例が報告されていると説明する。
ランサムウェア攻撃の被害者になったとみられる組織の一つが、中国工商銀行(ICBC)だ。FS-ISACセキュリティ研究員のケビン・ボーモント氏によれば、中国工商銀行はCitrix Bleedのパッチを適用していなかった。同銀行はLockBitによるランサムウェア攻撃を受けたかどうかについてコメントしていない。
FS-ISACによると、LockBitは標的システムに入り込むためにRDPの悪用やドライブバイダウンロード(マルウェアを秘密裏にダウンロードさせる攻撃)、フィッシング攻撃といった手口を使っている。LockBitはMicrosoftのOS「Windows」の他に、Appleの「macOS」や「Linux」といったOSを採用している組織も標的にしているという。
LockBitがランサムウェア攻撃に使っているのは、Citrix Bleedだけではない。Fortraのファイル転送管理ツール「GoAnywhere MFT」の脆弱性「CVE-2023-0669」も悪用されているとFS-ISACは注意を呼び掛ける。ユーザー企業の防御策としては、フィッシング攻撃対策やMFAの採用、ネットワークの細分化、攻撃を想定した復旧計画の実装といったことが有効だという。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
