Microsoftは、メールサーバーの「Microsoft Exchange Server」を使用している組織にセキュリティ強化を呼び掛けている。Exchange Serverを標的にした巧妙な攻撃が4月に急増したためだ。
同社が公開したアラートは、高度なサイバー攻撃者が、無料で利用可能なオープソースソフトウェアと既知の脆弱性を悪用し、組織にとって最も重要な情報源の1つであるExchange Serverを、どのように攻撃しているのか詳細に説明している。
Exchange Serverは国家の支援を受けた複数の攻撃グループから、数カ月にわたって標的にされている。Microsoftが2月に、とりわけ深刻なExchange Serverの脆弱性(CVE-2020-0688)を修正するパッチを公開してから、素早く攻撃を仕掛けてきた。
この脆弱性により、過去10年間にリリースされたExchange Serverは、コントロールパネルのバックエンドに同一の暗号化キーを使用していることになる。このため攻撃者は、マルウェアをリモートから実行してサーバーを完全にコントロールし、保存されている電子メールにアクセスできるようになる。
同社は、この脆弱性が将来的に悪用される可能性があると予測して、パッチの適用を呼び掛けたが、多くの組織はその警告を無視した。4月にはセキュリティ研究者らが、この脆弱性を持つExchange Serverが35万台以上、インターネットで危険にさらされていると警告するまでになった。
Microsoftによると、Exchange Serverに侵入するための最も一般的な方法は、フィッシング攻撃やデスクトップの不具合を狙った攻撃で、そこから組織のネットワーク内を移動して、電子メールが保存されているExchange Serverにアクセスする。
しかし4月に急増した攻撃手法は、リモートコード実行に関する脆弱性を悪用しており、Exchange Serverのインターネット情報サービス(IIS)のコンポーネントに影響を与えるという。
「1つ目の手法の方が一般的だが、CVE-2020-0688のようなExchange Serverの脆弱性を悪用した手法が増えている」と、Microsoft Defender ATP研究チームのHardik Suri氏は述べた。
「この脆弱性に対処したセキュリティアップデートは、数カ月前から提供されているにもかかわらず、攻撃者はいまだに標的にできるサーバーを見つけることができる」(Suri氏)
Microsoftの警告に先立ち、オーストラリア政府も国内で組織を狙った攻撃が相次いでいることに警鐘を鳴らしている。オーストラリア・サイバー・セキュリティ・センター(ACSC)は、CVE-2020-0688を取り上げていないものの、IISとExchange Serverに対する攻撃と似た手法について詳述している。
いずれの場合も、攻撃者は「Outlook on the web」のログインページなど、Exchange Serverのインターネットからアクセス可能な場所に、ウェブシェルのバックドアコードを埋め込んでいる。
攻撃者はウェブシェルを設置した後、標的とするドメインを探り、構成ミスのあるサーバーを見つけると、高度な特権を持つ「管理者」「リモートデスクトップユーザー」「エンタープライズ管理者」などのグループに新たなアカウントを追加する。これにより攻撃者は、「組織内のあらゆるユーザーやグループに、無制限でアクセスできるようになる」。
純粋にマシンのメモリーで、ディスクに触れることなく永続性を得るために、攻撃者はオープンソースのソフトウェア「Mimikatz」を利用している。このオープソースのクレデンシャルダンピングツールを検出するように構成されたシステムでは、プログラミング言語「Go」で記述したラッパーに改変したバージョンが使用された。
さらに攻撃者は、電子メールの「.pst」ファイルやメモリーダンプを盗むために使用する「.zip」ファイルや「rar.exe」などの圧縮ツールがアーカイブのスキャニングに引っかからないように、「Microsoft Defender Antivirus」を無効にしようとする。
Suri氏は、攻撃者がウイルス対策を無効にするのを防ぐために、組織が利用可能なアップデートを適用し、多要素認証と「Windows 10」マシンの改ざん保護を有効にすることを推奨している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
