リモートアクセスソフトが狙われる理由とは TeamViewerの事例
広く使われているソフトウェアを狙うサイバー攻撃に混じって、リモートアクセスソフトウェアを対象としたものが目立つ。攻撃者は何を狙っているのだろうか。
リモートアクセスソフトウェアがサイバー攻撃を受けた。なぜ次々と狙われるのだろうか。
リモートアクセスが狙われる理由とは
今回狙われたのはTeamViewerだ。同社が提供するリモートアクセスソフトウェアは、PCやロボット、産業機械、携帯電話などを監視、管理、修理するためのリモートアクセスツールとして広く利用されている。同社の契約者数は64万を超え、世界中で25億台以上のデバイスにダウンロードされている。
だが、ダウンロード数が多いことが狙われた理由ではないようだ。
TeamViewerによると、攻撃者が従業員のディレクトリデータをコピーすることに成功した。データには氏名や企業の連絡先情報、暗号化された従業員パスワードが含まれていた。ただし、同社によれば本番環境や接続プラットフォーム、顧客データには影響がなかったという。
TeamViewerはさっそく対策に乗り出した。インシデント対応パートナーのMicrosoftと協力して、従業員向けの認証手順を強化した。これにより暗号化されたパスワードへのアクセスリスクを軽減できる。同時に社内のIT環境の再構築にも着手した。
TeamViewerによれば、「侵害された従業員のアカウントを利用して、当社のITネットワークにアクセスしたサイバー攻撃の背後に(注1)、国家と結び付いた脅威グループ『Midnight Blizzard』がいる」という。これが事実なら、同攻撃グループによる最新のインシデントだ。
Midnight Blizzardは危険な攻撃グループだ。ネットワーク監視ソフトウェアを提供するSolarWindsに対する2020年のサンバースト攻撃の他、Microsoftに対するパスワードスプレー攻撃を実行し(注2)、その後、JetBrainsの「TeamCity」の重大な脆弱(ぜいじゃく)性を悪用した経緯がある(注3)。
さらに、攻撃の実態が明らかになるまでに時間もかかっている。Microsoftは一部の顧客にMidnight Blizzardの攻撃について連絡していたものの、2024年6月24日の週にさらに顧客に通知する必要があった(注4)。Midnight BlizzardがMicrosoftの上級幹部に対してパスワードスプレー攻撃のキャンペーンを開始したのは2023年のことであり(注5)、これに続く攻撃では、連邦政府機関やその他のクラウド顧客の認証情報を標的とした(注6)。
サプライチェーン攻撃で本来の目標に到達
2024年6月26日、サイバーセキュリティ事業を営むNCC Groupは、TeamViewerに対する侵害の情報を入手したと発表し(注7)、リモートアクセスツールの使用を停止し、IT環境から切り離すように警告した。
Mandiantの研究者によると、Midnight Blizzardはステルス技術を使い、テクノロジー企業を標的にしている。今後はより野心的なサプライチェーン攻撃を試みる可能性があるという。
Mandiantのジョン・ホルトクイスト氏(チーフアナリスト)は次のように述べた。
「Midnight Blizzardの狙いは経営陣や政府首脳による意思決定に影響を与える情報だ。そのために(TeamViewerのような)テクノロジー企業を狙って、その企業のユーザー(やトップ)にたどり着こうとする。一般に、Midnight Blizzardは外交問題に関する情報を求めている。特に、ウクライナへの支援に焦点を当てており、その情報を求めて政府や関連組織を標的にしている」
出典:TeamViewer’s IT network breached through compromised employee credentials(Cybersecurity Dive)
注1:TeamViewer IT security update(TeamViewer)
注2:Microsoft to overhaul internal security practices after Midnight Blizzard attack(Cybersecurity Dive)
注3:JetBrains warns of another critical CVE in on-premises TeamCity servers(Cybersecurity Dive)
注4:Microsoft alerts additional customers of state-linked threat group attacks(Cybersecurity Dive)
注5:Microsoft to overhaul internal security practices after Midnight Blizzard attack(Cybersecurity Dive)
注6:Federal agencies caught sharing credentials with Microsoft over email(Cybersecurity Dive)
注7:Threat Intelligence: TeamViewer compromised by APT29(NCC Group)
関連記事
ランサムウェアが侵入に使うあなたの会社の「このツール」
ランサムウェア攻撃は企業にとって非常に有害だ。サイバーセキュリティ保険を扱う企業の分析によって、企業が利用しているあるツールが侵入口として危険だと分かった。
またも狙われたリモートデスクトップ 脆弱性対応が急務
リモートデスクトップソフトウェアはリモートアクセスを提供するため、サイバー攻撃者に狙われやすい。脆弱性が見つかった場合、すぐにでも攻撃が始まる可能性がある。
またもや狙われたMicrosoft 勝手にクライアント管理ツールが悪用される
サイバーセキュリティが弱いという批判を浴びているMicrosoftがまたもや攻撃を受けている。Windowsに勝手にリモート接続された後、ランサムウェア攻撃につながる。
テレワーク環境別に考える、VPNおよびリモート端末のリスクと対策
テレワーク環境を3つのパターンに分けて、それぞれで発生するセキュリティリスクを整理した上で、その対策を指南する。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 富士通ゼネラル、メインフレームをSAP S/4HANAに刷新 「昭和100年問題」を回避した決断とは
- 2023年もWindows 11は「様子見」、Microsoftの“賭け”が失敗した原因は?
- “電源いらずのIoT”を可能にするかもしれない「Wi-Fi発電」って?:794th Lap
- Teams、OneDrive、SharePointに20の新機能、何がどう変わった?【まとめて解説】
- Zoom WorkplaceはZoomと何が違う? 変更とメリットを総整理
- 「持つ経営」のトラスコ中山、オンプレSAP S/4HANAをクラウド移行する逆張り戦略
- 「新技術を導入して。でもコストは抑えろ」 IT部門はムチャぶりにどう応えるべき?
- PoCとは? 実証実験との違い、進め方、成功の秘訣(ひけつ)を解説
- ライオンのスマホアプリ開発秘話、”人間中心設計”で使いやすいアプリに
- 「テレワークがきつい」のはなぜ? 現場の悲鳴を企業はどう受け止めているか
ITmediaはアイティメディア株式会社の登録商標です。