あの大手銀行も「LockBit」の標的に Citrix製品を狙う“脆弱性悪用”の実態：脆弱性「Citrix Bleed」の悪用が活発化【後編】

Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。

[Arielle Waldman，TechTarget]

　Citrix Systemsのネットワーク機器「NetScaler ADC」「NetScaler Gateway」に脆弱（ぜいじゃく）性「Citrix Bleed」（CVE-2023-4966）が見つかった。サイバーは犯罪集団「LockBit」はCitrix Bleedをランサムウェア（身代金要求型マルウェア）攻撃活動に積極的に使っているとみられる。どのような対処が必要なのか。攻撃を受けた銀行を例にして見てみよう。

狙われた大手銀行　基本を怠ったのが原因？

併せて読みたいお薦め記事

連載：脆弱性「Citrix Bleed」の悪用が活発化

• 前編：犯罪集団「LockBit」が“パッチ公開前”から悪用か　Citrix製品の危ない脆弱性

「LockBit」の攻撃が広がっている

• Accentureにランサムウェア攻撃　「機密情報を公開」の脅しにどう対処したか？
• 「Kajit」は誰だ――匿名性が生んだランサムウェア攻撃者間の疑心暗鬼

　金融機関向けセキュリティ団体FS-ISACはCitrix Bleedについて、幾つかのリスクを指摘している。例えば、この脆弱性が存在する製品から認証トークンを盗み出し、ユーザー企業のセッションを乗っ取ることが可能だという。FS-ISACによると、ユーザー企業はCitrix Bleedのパッチ（修正プログラム）を適用しても完全な保護策にはならない可能性がある。

　攻撃者セッションを乗っ取ることで、多要素認証（MFA）による認証を回避してアプリケーションへのアクセス権を入手できるとFS-ISACは説明する。トークン情報が流出したら、パッチ適用後もそのトークンを使った侵害が可能ということだ。

　FS-ISACはCitrix Bleedを悪用した攻撃に関して、ネットワーク探索、資格情報の盗み取り、リモートデスクトッププロトコル（RDP）を使用したネットワーク移動といった行為を観測しているという。中でも、LockBitが仕掛けているランサムウェア攻撃への注意が必要だ。FS-ISACは、LockBitがCitrix Bleedを悪用してランサムウェア攻撃を仕掛けている実例が報告されていると説明する。

　ランサムウェア攻撃の被害者になったとみられる組織の一つが、中国工商銀行（ICBC）だ。FS-ISACセキュリティ研究員のケビン・ボーモント氏によれば、中国工商銀行はCitrix Bleedのパッチを適用していなかった。同銀行はLockBitによるランサムウェア攻撃を受けたかどうかについてコメントしていない。

　FS-ISACによると、LockBitは標的システムに入り込むためにRDPの悪用やドライブバイダウンロード（マルウェアを秘密裏にダウンロードさせる攻撃）、フィッシング攻撃といった手口を使っている。LockBitはMicrosoftのOS「Windows」の他に、Appleの「macOS」や「Linux」といったOSを採用している組織も標的にしているという。

　LockBitがランサムウェア攻撃に使っているのは、Citrix Bleedだけではない。Fortraのファイル転送管理ツール「GoAnywhere MFT」の脆弱性「CVE-2023-0669」も悪用されているとFS-ISACは注意を呼び掛ける。ユーザー企業の防御策としては、フィッシング攻撃対策やMFAの採用、ネットワークの細分化、攻撃を想定した復旧計画の実装といったことが有効だという。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。