米Citrix、FBIからの連絡でサイバー攻撃により社内ネットワークに侵入されたことを知る。政府機関などを狙った大規模な攻撃の一部か?

2019年3月11日

米Citrixは、サイバー攻撃を受け社内ドキュメントなどが盗まれたことを明らかにしました。同社のCSIO(Chief Security and Information Officer:最高セキュリティ情報責任者)Stan Black氏が同社のブログにポストした記事「Citrix investigating unauthorized access to internal network」で報告しました。

fig

Citrixがサイバー攻撃を受けたことはFBIから告知を受けたと、Black氏は次のように説明しています。

On March 6, 2019, the FBI contacted Citrix to advise they had reason to believe that international cyber criminals gained access to the internal Citrix network.

2019年3月6日、国際的なサイバー犯罪者がCitrixの社内ネットワークへアクセスしたと信ずる十分な理由があると、FBIがCitrixに連絡をとってきた。

Citrixはまだ調査中ながらもこの攻撃により社内ドキュメントなどへのアクセスがあったとしています。

While our investigation is ongoing, based on what we know to date, it appears that the hackers may have accessed and downloaded business documents. The specific documents that may have been accessed, however, are currently unknown.

私たちの調査は進行中だが、現時点で分かっているのはハッカーは社内文書へのアクセスとダウンロードを行ったようだということだ。ただしまだ、どのドキュメントにアクセスされたかは特定されていない。

FBIによると、「パスワードスプレイ攻撃」と呼ばれる種類の攻撃を受けたとのこと。

While not confirmed, the FBI has advised that the hackers likely used a tactic known as password spraying, a technique that exploits weak passwords.

まだ確認されていないが、FBIはハッカーがパスワードスプレイ攻撃と呼ばれる手法を用いたようだとしている。これはパスワードの弱点を突いてくるものだ。

パスワードスプレイ攻撃とは、攻撃していることが分からないように時間をかけてパスワードの総当たりやパスワードリストを基にした攻撃を仕掛けるというものです。これにより認証が突破され、社内ネットワークにアクセスされてしまったようです。

セキュリティ対策ベンダであるResecurityのブログによると、メールやファイルなど少なくとも6テラバイトの情報が盗まれたとのことです。

なぜFBIはCitrixに対する攻撃が分かったのか?

なぜFBIは、Citrixに対する攻撃があったことが分かったのでしょうか?

そのヒントも、前述のセキュリティ対策ベンダであるResecurityのブログにありました。同社はこのサイバー攻撃は「イリジウム」と呼ばれるイランに関連する犯罪集団が行った、政府機関など200を超える組織に対する攻撃の一部だと指摘しています。

The Iranian-linked group known as IRIDIUM has hit more than 200 government agencies, oil and gas companies and technology companies including Citrix Systems, Inc.

IRIDIUM(イリジム)として知られるイランに関連した集団によって、政府機関、石油やガス会社やCitrix Systemsを含むテクノロジー企業など200以上に対する攻撃が行われた。

そしてこれは国家によって支援されたサイバースパイ活動だとも指摘。

The incident has been identified as a part of a sophisticated cyberespionage campaign supported by nation-state due to strong targeting on government, military-industrial complex, energy companies, financial institutions and large enterprises involved in critical areas of economy.

この事件は政府、軍産複合体、エネルギー企業、金融機関、あるいは経済分野で重要な大企業を徹底して狙っているため、国家が支援するよく訓練されたサイバースパイ活動の一環だと認識されている。

ここから推測できることは、FBIが米国の政府機関などに対するサイバー攻撃について調べているなかで政府機関以外への攻撃についても知ることとなり、Citrixへの攻撃が分かったのではないか、ということです。

現在、米国はイランに対して経済制裁を行っており、両国の関係は険悪な状態にあります。そのイランに関連する組織からのサイバー攻撃の疑いがあるのだとすれば、FBIが神経質に対応するのは理解できます。

いずれによせ、FBIがCitrixに対してサイバー攻撃を告知したという事実から見て、米国の政府機関など重要な組織に対する攻撃があったと考えることは一定の説得力があるように思います。

あわせて読みたい

セキュリティ 業界動向 Citrix




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本