マイクロソフト「Exchange Server」へのAPT攻撃が進行中、修正済みの脆弱性を悪用

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-03-10 13:12

 国家の支援を受けた複数の攻撃グループが、最近修正された「Microsoft Exchange Server」の脆弱性を悪用した攻撃を行っていることが明らかになった。

 米国時間3月6日に、英国のサイバーセキュリティ企業Volexityが悪用の試みを発見した。米国防総省の情報筋も、9日の米ZDNetの取材に対して、攻撃が行われていることを認めている。

 Volexityは、このExchange Serverの脆弱性を悪用している攻撃グループの名前を明らかにしていない。

 米国防総省の情報筋は、攻撃しているグループは「どれも大物(big players)だ」と述べたものの、具体的なグループの名前や国名を挙げることは避けた。

Microsoft Exchangeの脆弱性

 攻撃に悪用されているExchange Serverの脆弱性(CVE-2020-0688)は、Microsoftが2月に公開した月例パッチで修正済みだ。

 Microsoftは2月11日にこの不具合のパッチを公開した際、将来的に攻撃に利用されることが予想されるため、できるだけ早くパッチをインストールすべきだと警告していた。

 その後、2週間ほどは何も起こらなかったが、Microsoftにこの脆弱性を報告したZero-Day Initiativeが、2月下旬にこの脆弱性の内容を詳しく説明するレポートを公開すると、事態は悪化した。

 セキュリティ研究者らは、このレポートに掲載されている情報を利用して、脆弱性の検出ルールを作成して、Exchange Serverのテストを行い、緩和策を準備できるようにするための概念実証コードを作成した。

 これらの概念実証コードのうち、少なくとも3つがGitHubで公開されている(1/2/3)。その後間もなく、「Metasploit」のモジュールも作成された。

 よくあることだが、技術的な詳細と概念実証コードが公開されると、攻撃グループもこの脆弱性に関心を持ち始めた。

 Zero-Day Initiativeがレポートを公表した翌日の2月26日には、攻撃グループがExchange Serverのスキャンを開始し、脆弱性が残っているサーバーのリストを作成し始めた。最初にこの種のスキャン行為を検知したのは、脅威インテリジェンスを手掛けるPad Packetsだ。

 Volexityによれば、現在はスキャンする段階から、実際に攻撃する段階に移っているという。

 この不具合を利用した攻撃を最初に行ったのはAPT(Advanced Persistent Threat:高度で継続的な脅威)グループだ。「APT」という用語は、国家の支援を受けている攻撃グループを指すことも多い。

 ただし、今後はほかの種類の攻撃グループもこれに追従するとみられる。米ZDNetが9日に取材した複数のセキュリティ研究者が、今後は企業のネットワークを狙ったランサムウェア攻撃を行っている攻撃グループの間でも、この脆弱性が頻繁に利用されることが予想されると述べている。

 この脆弱性は、サポートが終了したバージョンも含めて、最新のパッチが当てられていない全バージョンのMicrosoft Exchange Serverに存在する。サポートが終了したバージョンについては、新しいバージョンのExchange Serverへの移行を検討すべきだ。移行が不可能な場合は、すべてのExchangeアカウントのパスワードを強制的にリセットすることが推奨されている。

 TrustedSecが公表したブログ記事では、Exchange Serverがこの脆弱性を悪用したハッキングを受けたかどうかを調べる方法が説明されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]