「Microsoft Exchange Server」の脆弱性に対処するパッチや緩和策の適用が遅れている状況にサイバー攻撃者らがつけ込み、攻撃数が数時間ごとに倍増していると報告されている。
Check Point Research(CPR)によると、脅威アクターらはMicrosoftが米国時間3月2日にリリースした緊急セキュリティ更新プログラムによって対処される4つのゼロデイ脆弱性を積極的に悪用している。
CPRは12日時点で、過去24時間において「組織に対する攻撃が2〜3時間ごとに倍増している」と指摘した。
14日時点でこれらの攻撃の対象となっているのは主に米国やオランダ、トルコの組織であり、追跡された攻撃のうちそれぞれ21%、12%、12%を占めている。
また最も多くの攻撃を受けている業界は、政府機関/軍関係、製造業、ソフトウェアベンダーとなっている。
Palo Altoは11日の時点で、修正プログラムが適用されていないExchange Serverは、世界中に12万5000台以上残っていると推測していた。
重大なゼロデイ脆弱性(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)は「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」に影響する。
Microsoftは定例外の緊急パッチでこのセキュリティ脆弱性に対応した。また、国家の関与が疑われる中国のAPT(高度標的型攻撃)グループのHafniumに悪用されていると警告した。
インターネットセキュリティを手掛けるESETは先週、現在Exchange Serverの脆弱性の悪用に、少なくとも10のAPTグループが関与していると報告した。
Microsoftは12日、「DearCry」という名で知られているランサムウェアが、攻撃にこのサーバー脆弱性を利用しているとし、このランサムウェアファミリーをブロックしたことを明らかにした。同社によると、「パッチの適用されていないオンプレミスのExchange Serverに対する侵入」がなされた後、脆弱性を抱えたシステム群にランサムウェアが展開された。2017年の「WannaCry」のアウトブレイク時と同様の状況が発生していると指摘されている。
CPRで脅威インテリジェンスグループのマネージャーを務めるLotem Finkelsteen氏は「侵入されたサーバーでは、権限のない攻撃者による企業の電子メールの窃盗や、高い権限での悪意あるコードの実行が可能になる」とコメントした。「リスクを抱えている組織は、Exchangeで予防的な措置を講じるだけでなく、ネットワークをスキャンして現在の脅威を調べ、すべての資産を評価するべきだ」(Finkelsteen氏)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
