マイクロソフトエクスチェンジサーバー脆弱性 問題の本質は何か?

コラム NO IMAGE

 JPCERT/CCやIPA(情報処理推進機構)がマイクロソフトのエクスチェンジサーバーの脆弱性について注意喚起を行っています。しかし、脆弱性への対応を呼びかけているだけなのでリスクの本質が見えてきません。また、誰に対して注意を喚起しているのかを明らかにしていないため、エクスチェンジサーバーの使用者に限定される問題なのか、エクスチェンジサーバーで提供されるサービスの利用者も対象なのか、広く一般に関わるリスクなのかよくわかりません。JPCERT/CCやIPAの対応は多くの脆弱性情報の1つとして対応を促しているにすぎない印象を受けます。

CISAが即日、緊急指令を発出

 この問題は、3月2日にマイクロソフトがマイクロソフトエクスチェンジサーバーに4つの重大な未知の脆弱性があることを公開したことに始まりました。マイクロソフトエクスチェンジサーバーは、メール等のマイクロソフトのサーバー製品です。マイクロソフトはあわせてこの未知の脆弱性を利用したエクスプロイト攻撃が行われていることを明らかにし、その攻撃は非常に洗練されており、攻撃は市民社会をターゲットに国家を背景としたグループによって行われていると表明しました。

 アメリカの国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)は同日、マイクロソフトエクスチェンジサーバーを使用している連邦政府機関や民間部門に対してアップデートをするか、ネットワークから遮断をするように求める緊急指令を発しました。緊急指令についてCISAは、「事態の重大性に鑑みて速やかに発行した」と表明しています。マイクロソフトエクスチェンジサーバーの脆弱性を狙った攻撃はアメリカなどの市民社会に対する脅威だとアメリカ政府が認識していることは明らかです。アメリカのサイバーセキュリティジャーナリストのブライアン・クレブス氏は、企業や自治体などアメリカ全体で少なくとも3万組織がハッキングされ、攻撃者はハッキングしたネットワークをリモート制御するツールを世界の数十万の組織にまいていると指摘しています。

最初の発見は台湾・DevCore

 マイクロソフトが3月2日にこの問題の表明に至るまでの経緯についてはパロアルトネットワークスの脅威分析チーム、Unit 42のレポートが詳しく伝えています。それによると、未知の脆弱性に最初に気づいたのは台湾のセキュリティコンサルティング、DevCoreだということです。DevCoreといえば、フォーティネットのSSL-VPNの脆弱性を発見したことを以前記事にしました。今回問題になっている脆弱性についても、4つのうち2つを発見し今年1月5日にマイクロソフトに通知をしたということです。また、デンマークを拠点とするセキュリティ企業、DubexはCVE-2021-26857として登録された脆弱性について最初に言及をしたということです。これらマイクロソフトエクスチェンジサーバーの脆弱性に対する攻撃がすでに今年1月3日には行われていたこと示す報告がアメリカを拠点とするセキュリティ企業、Volexityによって行われており、同社は2月2日にマイクロソフトインフォメーションに1月6日に発生した同様の攻撃について報告をしているとのことです。

 パロアルトネットワークスは、3月8日時点で修正プログラムが適用されていないマイクロソフトエクスチェンジサーバーは世界に12万5000台以上残っていると推測されるとしています。この中には日本も含まれると考えられますが、NISC(内閣サイバーセキュリティセンター)に確認したところ日本国内におけるマイクロソフトエクスチェンジサーバーの実態について詳細を把握していないとのことでした。マイクロソフトエクスチェンジサーバーの脆弱性を狙ったサイバー攻撃の背後にある国家は中国だと言われています。この問題がアメリカやヨーロッパで重く受け止められているのは洗練された大規模な攻撃がまさに今、行われているということに加え、社会全体に対する脅威との認識があるからだと思います。エンジニア向けの脆弱性情報にとどまる日本の関係機関の対応とはかなり温度差があるように思えます。

■出典

https://www.jpcert.or.jp/at/2021/at210012.html

https://www.ipa.go.jp/security/ciadr/vul/20210303-ms.html

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

https://www.cisa.gov/news/2021/03/02/cisa-issues-ed-requiring-federal-agencies-patch-critical-vulnerability

https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

https://krebsonsecurity.com/

https://devco.re/en/about/

https://unit42.paloaltonetworks.jp/microsoft-exchange-server-attack-timeline/

https://www.dubex.dk/aktuelt/nyheder/hafnium-attack-dubex-recommendations

NO IMAGE
最新情報をチェックしよう!