中国の攻撃はサイバー空間でも? アメリカの被害例とは

乗っ取った取引先を経由して、大手小売企業のCitrixサーバーにアクセス。システムに侵入し、本来は隔離されているシステムにアクセスできる権限を取得している。

これによって攻撃者は、ドメインコントローラとWindowsドメインに対する特別なアクセス権を取得し、マルウェアに感染させた。その結果、POS端末8000台のメモリからクレジットカード情報を盗み取ったほか、保存されていた暗号化ファイルを入手している。数千万件のクレジットカード情報が闇市場で売買されるなど、大きな被害を出した。

この例でわかるのは、企業が利用している正規のルートが、攻撃に利用されているということだ。たとえば、企業が利用する正規のVPNやCitrixを使ってアクセスし、2要素認証であっても突破する。またベンダー各社から盗み出した正規のデジタル証明書を、攻撃に使う不正なソフトウェアで使っている。また正規のウェブサイトを乗っ取ることで、標的の企業ユーザーがアクセスしたときのみマルウェア感染させる水飲み場攻撃を行っている。

正規のウェブサイト改ざんについては、7月末に大きな問題となったFlashの脆弱性をついた攻撃についても取り上げた。