国家の支援を受けた複数の攻撃グループが、最近修正された「Microsoft Exchange Server」の脆弱性を悪用した攻撃を行っていることが明らかになった。
米国時間3月6日に、英国のサイバーセキュリティ企業Volexityが悪用の試みを発見した。米国防総省の情報筋も、9日の米ZDNetの取材に対して、攻撃が行われていることを認めている。
Volexityは、このExchange Serverの脆弱性を悪用している攻撃グループの名前を明らかにしていない。
米国防総省の情報筋は、攻撃しているグループは「どれも大物(big players)だ」と述べたものの、具体的なグループの名前や国名を挙げることは避けた。
Microsoft Exchangeの脆弱性
攻撃に悪用されているExchange Serverの脆弱性(CVE-2020-0688)は、Microsoftが2月に公開した月例パッチで修正済みだ。
Microsoftは2月11日にこの不具合のパッチを公開した際、将来的に攻撃に利用されることが予想されるため、できるだけ早くパッチをインストールすべきだと警告していた。
その後、2週間ほどは何も起こらなかったが、Microsoftにこの脆弱性を報告したZero-Day Initiativeが、2月下旬にこの脆弱性の内容を詳しく説明するレポートを公開すると、事態は悪化した。
セキュリティ研究者らは、このレポートに掲載されている情報を利用して、脆弱性の検出ルールを作成して、Exchange Serverのテストを行い、緩和策を準備できるようにするための概念実証コードを作成した。
これらの概念実証コードのうち、少なくとも3つがGitHubで公開されている(1/2/3)。その後間もなく、「Metasploit」のモジュールも作成された。
よくあることだが、技術的な詳細と概念実証コードが公開されると、攻撃グループもこの脆弱性に関心を持ち始めた。
Zero-Day Initiativeがレポートを公表した翌日の2月26日には、攻撃グループがExchange Serverのスキャンを開始し、脆弱性が残っているサーバーのリストを作成し始めた。最初にこの種のスキャン行為を検知したのは、脅威インテリジェンスを手掛けるPad Packetsだ。
CVE-2020-0688 mass scanning activity has begun. Query our API for "tags=CVE-2020-0688" to locate hosts conducting scans. #threatintel
— Bad Packets Report (@bad_packets) February 25, 2020
Volexityによれば、現在はスキャンする段階から、実際に攻撃する段階に移っているという。
この不具合を利用した攻撃を最初に行ったのはAPT(Advanced Persistent Threat:高度で継続的な脅威)グループだ。「APT」という用語は、国家の支援を受けている攻撃グループを指すことも多い。
ただし、今後はほかの種類の攻撃グループもこれに追従するとみられる。米ZDNetが9日に取材した複数のセキュリティ研究者が、今後は企業のネットワークを狙ったランサムウェア攻撃を行っている攻撃グループの間でも、この脆弱性が頻繁に利用されることが予想されると述べている。
この脆弱性は、サポートが終了したバージョンも含めて、最新のパッチが当てられていない全バージョンのMicrosoft Exchange Serverに存在する。サポートが終了したバージョンについては、新しいバージョンのExchange Serverへの移行を検討すべきだ。移行が不可能な場合は、すべてのExchangeアカウントのパスワードを強制的にリセットすることが推奨されている。
TrustedSecが公表したブログ記事では、Exchange Serverがこの脆弱性を悪用したハッキングを受けたかどうかを調べる方法が説明されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
