米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「Microsoft Exchange」のゼロデイ脆弱性の修正版が米国時間3月2日に公開されたことを受け、緊急指令(21-02)を発令した。
この緊急指令「Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」(Microsoft Exchangeのオンプレミス製品の脆弱性を緩和)は、3日に発令された。
Microsoftは、「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」で見つかった4件のゼロデイ脆弱性が、国家関与が疑われる中国のAPT(高度サイバー攻撃)グループのHafniumに悪用されていると警告した。
「Exchange Online」は脆弱性の影響を受けないという。しかし、Exchange Serverは政府機関や企業に使用されているため、同社は即座にパッチを施すように呼びかけている。
CISAはこうした状況を踏まえ、指令で連邦政府機関に直ちに脆弱性に対処することを求めている。この指令は、深刻なサイバーセキュリティの脅威が検出された場合、CISAは米国の政府機関に緊急指令を出すことができるという法規定に準じたものだ。
CISAは、提携組織が「Microsoft Exchangeのオンプレミス製品に存在する脆弱性が、積極的に悪用されている」ことを検出したとしている。
CISAによると、「これらの脆弱性が首尾よく悪用された場合、攻撃者はオンプレミスのExchange Serverにアクセスし、システムへの持続的なアクセスと企業ネットワークの制御が可能になる」という。
これらの脆弱性が「官民の行政府機関に許容しがたいリスク」をもたらすと考えており、直ちに行動を起こす必要があるとしている。
緊急指令は、不審なふるまいの兆候がないか、ネットワークアクティビティー、システムメモリー、ログ、Windowsイベントログ、レジストリー記録の対応優先順位付けを行うトリアージの実施を要求している。
侵害指標(IoC:Indicator of Compromise)によって、侵害の痕跡が発見されなければ、Microsoft Exchangeに直ちにパッチを適用する必要がある。仮に何からの攻撃が疑われる場合は、即座にMicrosoft Exchangeのオンプレミスのサーバーを切断し、CISAがさらに調査できるよう、報告しなければならない。
「この緊急指令は、Microsoft Exchangeを運用しているすべての機関が提供されているパッチを適用するか、その他の適切な処置によって、指令が終了するまで有効だ」(CISA)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。