Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。
Citrix Systemsのネットワーク機器「NetScaler ADC」「NetScaler Gateway」に脆弱(ぜいじゃく)性「Citrix Bleed」(CVE-2023-4966)が見つかった。サイバーは犯罪集団「LockBit」はCitrix Bleedをランサムウェア(身代金要求型マルウェア)攻撃活動に積極的に使っているとみられる。どのような対処が必要なのか。攻撃を受けた銀行を例にして見てみよう。
金融機関向けセキュリティ団体FS-ISACはCitrix Bleedについて、幾つかのリスクを指摘している。例えば、この脆弱性が存在する製品から認証トークンを盗み出し、ユーザー企業のセッションを乗っ取ることが可能だという。FS-ISACによると、ユーザー企業はCitrix Bleedのパッチ(修正プログラム)を適用しても完全な保護策にはならない可能性がある。
攻撃者セッションを乗っ取ることで、多要素認証(MFA)による認証を回避してアプリケーションへのアクセス権を入手できるとFS-ISACは説明する。トークン情報が流出したら、パッチ適用後もそのトークンを使った侵害が可能ということだ。
FS-ISACはCitrix Bleedを悪用した攻撃に関して、ネットワーク探索、資格情報の盗み取り、リモートデスクトッププロトコル(RDP)を使用したネットワーク移動といった行為を観測しているという。中でも、LockBitが仕掛けているランサムウェア攻撃への注意が必要だ。FS-ISACは、LockBitがCitrix Bleedを悪用してランサムウェア攻撃を仕掛けている実例が報告されていると説明する。
ランサムウェア攻撃の被害者になったとみられる組織の一つが、中国工商銀行(ICBC)だ。FS-ISACセキュリティ研究員のケビン・ボーモント氏によれば、中国工商銀行はCitrix Bleedのパッチを適用していなかった。同銀行はLockBitによるランサムウェア攻撃を受けたかどうかについてコメントしていない。
FS-ISACによると、LockBitは標的システムに入り込むためにRDPの悪用やドライブバイダウンロード(マルウェアを秘密裏にダウンロードさせる攻撃)、フィッシング攻撃といった手口を使っている。LockBitはMicrosoftのOS「Windows」の他に、Appleの「macOS」や「Linux」といったOSを採用している組織も標的にしているという。
LockBitがランサムウェア攻撃に使っているのは、Citrix Bleedだけではない。Fortraのファイル転送管理ツール「GoAnywhere MFT」の脆弱性「CVE-2023-0669」も悪用されているとFS-ISACは注意を呼び掛ける。ユーザー企業の防御策としては、フィッシング攻撃対策やMFAの採用、ネットワークの細分化、攻撃を想定した復旧計画の実装といったことが有効だという。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Yahoo!広告における脱デモグラフィックの配信・分析を実現 電通が「DESIRE Targeting」を提供開始
電通の消費者研究プロジェクトチームは、消費者を理解し、Yahoo!広告の配信や分析を実施...
生成AIを業務で使わないマーケターはもはや3割以下 御社はどうする?
HubSpot Japanが日本で実施した調査によると、日本のマーケターの8割以上が従来のマーケ...
新富裕層の攻略法 「インカムリッチ」の財布のひもを緩めるマーケティングとは?
パワーカップルの出現などでこれまでとは異なる富裕層が生まれつつあります。今回の無料e...