メディア

リモートアクセスソフトが狙われる理由とは TeamViewerの事例

広く使われているソフトウェアを狙うサイバー攻撃に混じって、リモートアクセスソフトウェアを対象としたものが目立つ。攻撃者は何を狙っているのだろうか。

» 2024年08月13日 10時30分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 リモートアクセスソフトウェアがサイバー攻撃を受けた。なぜ次々と狙われるのだろうか。

リモートアクセスが狙われる理由とは

 今回狙われたのはTeamViewerだ。同社が提供するリモートアクセスソフトウェアは、PCやロボット、産業機械、携帯電話などを監視、管理、修理するためのリモートアクセスツールとして広く利用されている。同社の契約者数は64万を超え、世界中で25億台以上のデバイスにダウンロードされている。

 だが、ダウンロード数が多いことが狙われた理由ではないようだ。

 TeamViewerによると、攻撃者が従業員のディレクトリデータをコピーすることに成功した。データには氏名や企業の連絡先情報、暗号化された従業員パスワードが含まれていた。ただし、同社によれば本番環境や接続プラットフォーム、顧客データには影響がなかったという。

 TeamViewerはさっそく対策に乗り出した。インシデント対応パートナーのMicrosoftと協力して、従業員向けの認証手順を強化した。これにより暗号化されたパスワードへのアクセスリスクを軽減できる。同時に社内のIT環境の再構築にも着手した。

 TeamViewerによれば、「侵害された従業員のアカウントを利用して、当社のITネットワークにアクセスしたサイバー攻撃の背後に(注1)、国家と結び付いた脅威グループ『Midnight Blizzard』がいる」という。これが事実なら、同攻撃グループによる最新のインシデントだ。

 Midnight Blizzardは危険な攻撃グループだ。ネットワーク監視ソフトウェアを提供するSolarWindsに対する2020年のサンバースト攻撃の他、Microsoftに対するパスワードスプレー攻撃を実行し(注2)、その後、JetBrainsの「TeamCity」の重大な脆弱(ぜいじゃく)性を悪用した経緯がある(注3)。

 さらに、攻撃の実態が明らかになるまでに時間もかかっている。Microsoftは一部の顧客にMidnight Blizzardの攻撃について連絡していたものの、2024年6月24日の週にさらに顧客に通知する必要があった(注4)。Midnight BlizzardがMicrosoftの上級幹部に対してパスワードスプレー攻撃のキャンペーンを開始したのは2023年のことであり(注5)、これに続く攻撃では、連邦政府機関やその他のクラウド顧客の認証情報を標的とした(注6)。

サプライチェーン攻撃で本来の目標に到達

 2024年6月26日、サイバーセキュリティ事業を営むNCC Groupは、TeamViewerに対する侵害の情報を入手したと発表し(注7)、リモートアクセスツールの使用を停止し、IT環境から切り離すように警告した。

 Mandiantの研究者によると、Midnight Blizzardはステルス技術を使い、テクノロジー企業を標的にしている。今後はより野心的なサプライチェーン攻撃を試みる可能性があるという。

 Mandiantのジョン・ホルトクイスト氏(チーフアナリスト)は次のように述べた。

 「Midnight Blizzardの狙いは経営陣や政府首脳による意思決定に影響を与える情報だ。そのために(TeamViewerのような)テクノロジー企業を狙って、その企業のユーザー(やトップ)にたどり着こうとする。一般に、Midnight Blizzardは外交問題に関する情報を求めている。特に、ウクライナへの支援に焦点を当てており、その情報を求めて政府や関連組織を標的にしている」

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。