Citrix Workspaceアプリ

ディレクターおよびモニターへのアプリ保護イベント

はじめに

Windows版Citrix Workspaceアプリ (CWA) は、手動での構成を必要とせずに、Microsoft Recallなどのエンドポイント上の高リスクな状態を自動的に検出する組み込みのセキュリティチェックを導入しています。これらの検出は、Citrix DirectorおよびMonitorにイベントを報告することでリアルタイムの可視性を提供し、管理者がリスクを迅速に評価し、App Protectionポリシーのような保護対策を適用できるようにします。

一部のイベント(Microsoft Recallなど)の検出は自動ですが、これらのイベントからの保護には、管理者によるApp Protectionポリシーの手動構成が必要です。

プロアクティブなリスク管理とポリシーの再構成を活用することで、管理者は環境内のエンドポイントセキュリティを強化し、新たな脅威への露出を減らすことができます。このプロアクティブなアプローチは、組織が脅威をリアルタイムで特定し、対応できるよう支援することで、Citrix®が安全なアプリケーション配信にコミットしていることをさらに推進します。

前提条件

  • シトリックス バーチャル デリバリー エージェント: VDAバージョン2507以降。
  • シトリックス ディレクター:シトリックス バーチャル アプリケーションズ アンド デスクトップ 2603 以降。
  • シトリックス モニター:DDC バージョン 128 以降。
  • Windows版Citrix Workspaceアプリ (CWA): エンドポイントにはバージョン2603以降が必要です。
    • 保護イベントの場合、管理者はCitrixポリシーを通じて関連するApp Protectionポリシー(例:アンチスクリーンキャプチャ、アンチDLLインジェクション)を構成する必要があります。

イベントの種類

マイクロソフト リコール検出

Windows Recallは、エンドポイント上で動作するAIエージェントであり、ユーザーの画面コンテンツのスナップショットを分析のためにローカルに継続的にキャプチャして保存します。これらのスナップショットには、次のような機密情報が含まれる可能性があります。

  • サインイン時に入力された企業資格情報。
  • 仮想デスクトップまたは公開アプリケーションに表示される機密性の高いアプリケーションデータ。
  • セッション中に表示される独自のドキュメントおよび知的財産。

Directorビュー - リコールイベント(/ja-jp/citrix-workspace-app/media/director-recall-screenshot1.png)

悪用された場合、この機能により、攻撃者または不正なユーザーが、セッション終了後でもデバイスから機密データを取得できる可能性があります。

このイベントはいつ送信されますか

セッション起動中、CWAはWindows Recallがエンドポイントでアクティブであるかどうかを自動的に検出します。

  • 検出イベント: Recallが検出され、セッションでアンチスクリーンキャプチャポリシーが有効になっていない場合に送信されます。
  • 保護イベント: Recallが検出され、セッションでアンチスクリーンキャプチャポリシーが有効になっている場合に送信されます。

Directorビュー - リコールイベント(/ja-jp/citrix-workspace-app/media/director-recall-screenshot.png)

イベント固有のデータ このイベントは共通フィールドのみを使用し、resourceTyperesourceName以外の追加フィールドは含まれません。

画面キャプチャの検出

ユーザーまたはツールがエンドポイントのデスクトップのスクリーンショットを撮ろうとすると、画面キャプチャイベントが発生します。App Protectionアンチスクリーンキャプチャポリシーが有効になっている場合、セッションのコンテンツはキャプチャツールに対して黒く塗りつぶされます。ツールはセッション外のデスクトップ領域をキャプチャできますが、セッションコンテンツ自体は隠されます。

このイベントはいつ送信されますか

アンチスクリーンキャプチャポリシーが有効で実行中のセッション中に、CWAが画面キャプチャツールが積極的に画面をキャプチャしようとしていることを検出すると、screenCaptureEventが送信されます。イベントには、ツールの名前とパス、およびその署名ステータスが含まれます。

Directorビュー - 画面キャプチャ(/ja-jp/citrix-workspace-app/media/director-screencapture-screenshot.png)

DLLインジェクションの検出

DLL (Dynamic Link Library) は実行可能なライブラリです。DLLインジェクションは、プロセスがDLLをCitrixプロセスに挿入するときに発生します。これらのDLLは、正当な理由(例:グラフィックドライバー、ウイルス対策ソフトウェア)と悪意のある理由(例:ネットワークトラフィックの傍受、資格情報の傍受)の両方で挿入される可能性があります。

アプリ保護のアンチDLLインジェクションは、署名されていないDLLが特定のCitrixプロセスに挿入されるのを防ぎます。署名されていないDLLがCitrixプロセスに挿入されることは、DLLインジェクションイベントと見なされます。

このイベントはいつ送信されますか

DLLインジェクションイベントは、アンチDLLインジェクションポリシーが有効になっているときに、CWAが保護されたCitrixプロセスに署名されていないDLLが挿入されていることを検出した場合に送信されます。

Directorビュー - DLLインジェクション(/ja-jp/citrix-workspace-app/media/director-dll-screenshot.png)

データとイベントの詳細

共通イベントスキーマ

すべてのエンドポイントセキュリティイベントは、DirectorおよびMonitorに報告される共通のエンベロープを共有します。

フィールド 説明書き
deviceName エンドポイントコンピューター名。 WORKSTATION-01
username ログインユーザー (UPN形式)。 john@example.com
timestamp ミリ秒単位のUnixエポックタイムスタンプ。 1733805466000
osVersion エンドポイントのオペレーティングシステムバージョン。 Windows 11 Pro
cwaVersion エンドポイント上のCitrix Workspaceアプリのバージョン。 25.3.2.196
ipAddress エンドポイントのIPアドレス。 123.45.67.89
version イベントスキーマのバージョン。 1.0
eventType セキュリティイベントタイプの識別子。 recallEvent
payloadType 0 = 検出(脅威を特定)。1 = 保護(軽減済み)。 0
component イベントを生成したCWAコンポーネント。 AppProtection

すべてのイベントには、EndpointSecurityAdditionalDataオブジェクトも含まれています。

フィールド 説明文
resourceType イベントに関連付けられているリソースの種類。 ICA session
resourceName 公開されたリソースのフレンドリ名。 Prod_Win11_Session

画面キャプチャイベント固有のデータ

共通フィールドに加えて、EndpointSecurityAdditionalData には以下が含まれます。

フィールド 説明内容
screenCaptureToolName 検出されたツールの実行可能ファイル名。 obs64.exe
screenCaptureToolPath ツール実行可能ファイルへの完全なファイルシステムパス。 C:\Program Files\obs-studio\bin\64bit
signed 検出された実行可能ファイルがデジタル署名されているかどうか。 true

DLLインジェクションイベント固有のデータ

共通フィールドに加えて、管理者はDLLのパスを確認できます。

フィールド 説明文
dllPath 挿入された未署名DLLへの完全なファイルシステムパス。 C:\Program Files\abc.dll
ディレクターおよびモニターへのアプリ保護イベント