米国内で「Microsoft Exchange」サーバーを運用していた場合、攻撃者に侵害され、その後知らないうちに米連邦捜査局(FBI)によって問題が緩和されていた可能性がある。
米司法省は米国時間4月13日、FBIに対して、Exchangeの脆弱性を悪用してサーバーに不正にインストールされていたウェブシェルを削除する権限が与えられたことを明らかにした。
米司法省は「感染したシステムの所有者の多くは、数千台のコンピューターからウェブシェルを削除することに成功した。しかし、それを行えないと見られる所有者もおり、数百のウェブシェルが、問題が緩和されないまま残存していた」と述べている。
「今回の措置では、米国のネットワークに対する持続的な不正アクセスの維持・拡大に使用される可能性があった、残存していたウェブシェルを削除した」
この措置が行われたにも関わらず、Exchangeサーバーの所有者には、Microsoftのアドバイスに従い、サーバーに正しくパッチを適用することが推奨されている。
米司法省は「FBIは、ウェブシェルを通じてサーバーに対して命令を送ることで削除を実行した。この命令は、サーバーが(個別のファイルパスによって特定された)ウェブシェルだけを削除するように設計されたものだ」と述べている。
「この措置では、ウェブシェルをコピーして削除することに成功した。しかし、Exchange Serverに存在するゼロデイ脆弱性にパッチを適用したり、ハッキンググループがウェブシェルを悪用して被害者のネットワーク上に導入した可能性があるその他のマルウェアやハッキングツールを探したり、削除したりすることはしていない」
また米司法省は、ウェブシェルのファイルパスとファイル名はそれぞれ異なっているため、「個々のサーバー所有者」がこれらを発見して削除することは難しかったかもしれないと付け加えた。同省は、3月末の時点で、米国内のサーバーで稼働中のウェブシェルが「数百」存在していることを把握していたという。Microsoftがこの脆弱性について最初に警告を発したのは3月の初めだ。
FBIは現在、ウェブシェルを削除したサーバーの所有者に警告を送ろうと試みているという。
国家安全保障担当司法次官補のJohn C. Demers氏は、「裁判所の許可を得て本日行われた悪質なウェブシェルの削除は、起訴を行うだけでなく、あらゆる法的手段を用いてハッキング行為を阻止するという司法省の姿勢を示している」と述べた。
Microsoftは3月24日に、脆弱性が存在するサーバーの92%にパッチか緩和策が適用されたと発表している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
