Sponsored Contents

Securityの最新記事

Image credit:
Save

米Citrixの内部ネットワークに侵入被害。FBIが指摘、「パスワードスプレー攻撃」でアクセス権奪取

Munenori Taniguchi, @mu_taniguchi
2019年3月11日, 午後02:30 in Security
111シェア
0
83
0
28

連載

注目記事

情報技術企業Citrix Systemsが、社内ネットワークに不正アクセスがあり、大規模なデータ侵害が発生したことを自社のブログで明らかにしました。イラン系組織からとみられるこの攻撃には「パスワードスプレー」と呼ばれる"ある程度推測されるパスワード"を複数のアカウントに使い合致するものを探す攻撃が使われたとされます。

パスワードを片っ端から探す攻撃手法としてよく知られているのは「ブルートフォースアタック」と呼ばれるもので、これは管理者権限を持つとみられるアカウントにパスワードを総当たりで調べるというもの。しかし、この方法では失敗回数制限を設けているアカウントには効果がありません。

一方、パスワードスプレー攻撃は存在しそうなアカウントとそれに使われていそうなパスワードの組み合わせを用いてログインを試みるもので、長い試行間隔を設けるなどしてアカウントロックを回避しつつ、侵入可能な組み合わせを発見できる特徴があります。

Citrixは2019年3月6日に米連邦捜査局(FBI)から、国際的サイバー犯罪グループがCitrix社内ネットワークに侵入し、情報を持ち出したと判断できる十分な証拠を確認しているとの連絡を受けてはじめてネットワーク侵害があったことを認識したと、ブログに綴りました。

FBIはCitrixに対し、パスワードスプレー攻撃によって社内ネットワークに限定的なアクセスを得た犯行グループが、内部で何らかの権限昇格操作を行い、社内文書などの資料を盗み出したと伝えました。ただし、Citrix側はまだどのような文書が持ち出されたのかを詳しく把握できておらず、製品やサービス内容などが改ざんされている様子も見つかっていないとしています。

Citrixがネットワーク侵入を明らかにするのに先駆け、情報セキュリティ企業Resecurityは、イラン政府から援助されるハッカーグループ"Iridium"が、2018年12月28日と3月4日にCitrixからデータを盗んだとの情報を発信しました。このセキュリティ企業によれば、犯行グループはおよそ6~10TBのもの情報にアクセスしていたとのこと。Resecurityのチャールズ・ヨー氏は、長年イランの犯行グループを追跡しており、Citrixのネットワークにはおよそ10年前から侵入し手板と信じる理由があり、それ以降ずっと潜んんでいると述べています。

ただ、Citrixの発表とRessecurityの情報には異なる点もあり、CitrixがResecurityから12月に警告を受けたときに何らかの対応を取ったかは明らかにしていません。しかしFBIからの連絡後は、外部の情報セキュリティ企業の手を借り、フォレンジック調査とネットワークの侵入対策を実施したと述べています。

Citrixは確認された被害はないとしているものの、クラウドやネットワークサービスを提供している政府請負業者として、たとえば政府内のネットワークレイアウトや具体的なセキュリティ対策などをいった他の企業にはない機密データを保持している可能性があります。

なお、Resecurityは2019年2月にオーストラリア議会のネットワークが攻撃を受けていたことが発覚した際も、やはりイラン系のグループによる犯行だと主張していましたが、オーストラリア国内報道ではイランではなく中国政府系の犯行グループだと伝えられています。また今回の件についても10年前にCitrixに侵入したとわかっていたのなら、なぜそれを報告していなかったのかは、疑問の残るところではあります。



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

111シェア
0
83
0
28

Sponsored Contents