Change Healthcareへの不正アクセス、MFA未設定の盗難Citrixアカウントが使われていた
BleepingComputer – April 30, 2024
米医療系プラットフォームChange Healthcareのランサムウェア被害に関して、親会社UnitedHealthのCEOであるAndrew Witty氏が米下院での公聴会に先駆けて証言文を公開。攻撃がBlackCatランサムウェアグループによるものであったことを初めて認めたほか、盗まれた従業員のCitrixアカウントが不正アクセスに使われていたことなどを新たに伝えている。
※この攻撃に関するこれまでの報道やBlackCatによる出口詐欺騒動について、詳しくはこちらの記事で:
UnitedHealthが新たに認めた事実
同社は先週にも声明を発表し、ランサムウェアグループに身代金を支払った事実や、米国民の相当数が情報漏洩の影響を受ける可能性があることなどについて認めていた。その時点で攻撃の詳細や実行者については明かしていなかったが、今回Witty氏によって、以下のような事実が新たに確認されている。
- Change Healthcareのネットワークへの攻撃はALPHV/Blackcatランサムウェアグループによって行われた。
- 初期アクセスは、同社が使用するリモートアクセスサービスCitrix経由で行われたが、Citrixポータルへのログインには、それ以前に盗まれた従業員の認証情報が使われていた。また、このポータルには多要素認証(MFA)が設定されていなかった。
- Citrixへの最初の不正アクセスが行われたのは2024年2月12日。その後攻撃者は9日間にわたってネットワーク内でラテラルムーブメントを実施し、コーポレートデータや患者データを窃取した。
- 攻撃者はその後、2月21日にシステムの暗号化を開始した。
- 身代金を支払うという決断は、CEOであるWitty氏によって下されたものだった。
使われた認証情報の入手元は不明も、2月8日にインフォスティーラーによる窃取が検知されていた
Citrixポータルへの不正ログインに使われた盗難認証情報が、元々どのように盗まれたものであったかはまだわかっていないが、フィッシング攻撃によって騙し取られたか、情報窃取型マルウェア(インフォスティーラー)によって窃取された、などの可能性が考えられる。
これについて、脅威インテリジェンス企業のHudson RockがBleepingComputerに伝えたところによれば、同社は2月8日、Change Healthcareの従業員のCitrix認証情報が、情報窃取型マルウェアによって盗まれたことを検知したという。この認証情報に関連するURLとしてremoteapps[.]changehealthcare[.]com/vpn/index.htm(現在はアクセス不能)も検知されたが、このURLが実際にChange HealthcareのCitrixのログインページであることも、BleepingComputerによって確認された。ただ、8日に盗まれた認証情報が12日の不正アクセスの際に使われた情報と同じものかどうかは定かではない。
フィッシングやインフォスティーラー対策、MFA導入の重要性が浮き彫りに
Change Healthcareは米国全土の病院やクリニックなどで使われている重要サービスで、その用途も、支払いの処理、処方箋の作成、保険請求関連など多岐に渡る。このためランサムウェア被害によって社会的な影響が生じたほか、同社の金銭的損失は8億7,200万ドルほどだと推定されている。また、BlackCatによる身代金持ち逃げ騒動などとも併せて報じられたこともあり、世間的な注目度も高かったことからレピュテーション面でのダメージも大きかった可能性がある。
認証情報の盗難がこれほどの甚大な被害・影響に繋がったChange Healthcareの事例を踏まえると、フィッシング対策やインフォスティーラー対策等を実施して認証情報を保護することが非常に重要だと言える。また、万が一認証情報が漏洩したとしても侵入を防げるよう、MFAを導入しておくことの重要性なども改めて浮き彫りになっている。