Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

シトリックスへのパスワードスプレー攻撃

米国のCitrix社へのサイバー攻撃が記事に出ていました。

www.sbbit.jp

 

公式発表 Citrix investigating unauthorized access to internal network | Citrix Blogs

 

Citrixがサイバー攻撃を受けたことはFBIから告知を受けたと、Black氏は次のように説明しています。

2019年3月6日、国際的なサイバー犯罪者がCitrixの社内ネットワークへアクセスしたと信ずる十分な理由があると、FBIがCitrixに連絡をとってきた。


 Citrixはまだ調査中ながらもこの攻撃により社内ドキュメントなどへのアクセスがあったとしています。

私たちの調査は進行中だが、現時点で分かっているのはハッカーは社内文書へのアクセスとダウンロードを行ったようだということだ。ただしまだ、どのドキュメントにアクセスされたかは特定されていない。


 FBIによると、「パスワードスプレイ攻撃」と呼ばれる種類の攻撃を受けたとのこと。 

 パスワードスプレイ攻撃とは、攻撃していることが分からないように時間をかけてパスワードの総当たりやパスワードリストを基にした攻撃を仕掛けるというものです。これにより認証が突破され、社内ネットワークにアクセスされてしまったようです。

(ビジネス+IT記事より引用)

 

 

◆キタきつねの所感

セキュリティベンダのResecurityによると、イリジウム(Mabna)というイラン系ハッカー集団による標的型攻撃だった様です。

最近の分析によると、攻撃者はツール、テクニック、およびプロシージャ(TTP)の組み合わせを悪用して、電子メールによる通信を含め、Citrixの企業ネットワークに保存されている6テラバイト以上の機密データにアクセスします。プロジェクト管理および調達に使用されるネットワーク共有およびその他のサービス内のファイル。

イリジウムの兵器庫には、VPN(仮想私設ネットワーク)チャネルおよびSSO(シングルサインオン)へのさらなる不正アクセスのための重要なアプリケーションおよびサービスに対する2FA認証を回避することを可能にする独自の技術が含まれています。

(Resecurityブログ記事より引用)※機械翻訳

 

FBIの3/23のFlashアラートに手口が書かれているとあったので、少し読んでみたのですが、パスワードスプレー攻撃でこのハッカー集団は、まず多要素認証が無く、推測しやすいパスワードを使っており、かつシングルサインオン(SSO)クラウドを使っている組織を狙っている様です。

例えばオフィス365の受信トレイ同期を利用して、不正にファイルを取得したり、電子メールに直接アクセスし、ローカル保存されている電子メールファイル(.PST)を転送する事を狙ってきます。

 

FBIの対策推奨案としては、

 ①多要素認証の導入

 ②NISTガイドラインに沿った、強固なパスワード設定

 ③パスワード管理・運用のレビュー(初期パスワード、パスワードリセット、共有アカウント)

を挙げていました。まぁ常識的な対策ですね。

 

マイクロソフトも、パスワードスプレー攻撃についてアラート記事を出している様です。

www.microsoft.com

 

こちらも対策推奨内容は以下の4点が書かれていました。

 ①Azure Active Directory パススルー認証によるユーザー サインイン

 ②Azure Active Directory スマートロックアウトの利用

 ③IPロックアウト

 ④Attack Simulations 

 

①~③は(オプション)設定を使うという事なので、何となくわかったのですが、そうしたものがあるとまったく知らなかったが、④の攻撃シュミレータです。2月21日からプレビュー版が公開されている様です。

techcommunity.microsoft.com

 

英語版だけな気もしますが、こうしたマイクロソフトクラウドサービスプロバイダー)が提供する追加防御策がもっと出てくると、パスワード認証の根本的な脆弱点を突かれて、やられ放題になりつつあるクラウド基盤のサービスのセキュリティは劇的に向上する気がします。

因みに、このシュミレータの機能を見ると、3つのシナリオスピアフィッシング攻撃」「パスワードスプレー攻撃」「ブルートフォース(総当たり)パスワード攻撃」が組み込まれている様です。

 

気になる方はチェックしてみては如何でしょうか。

 

 

ä¿å®å®ã®ã¤ã©ã¹ãï¼ç·æ§ï¼

 

更新履歴

  • 2019年4月15日AM(予約投稿)