Microsoftはパートナー企業による潜在的なコード流出が、「Microsoft Exchange Server」に対する一連の攻撃を悪化させた可能性について調査している。
同社は、「一部のセキュリティパートナー企業との間でプライベートに行った情報公開」を通じて、今回の攻撃に必要な「機密情報」が入手された可能性について調査しているという。The Wall Street Journal(WSJ)が米国時間3月12日に報じた。
Microsoftは2日、Exchange Serverで見つかり、広く悪用されていた4件のゼロデイ脆弱性に対処するために、緊急パッチを配信した。
これらの脆弱性は1月にプライベートで公開され、その後、悪用される事例が増加した。研究者らは、世界中で影響を受けた企業が数万社にのぼると推定している。
当初、これらのゼロデイ脆弱性を悪用しているのは、国家関与が疑われる中国のハッキンググループHafniumだとされていた。しかし、この脆弱性を突く概念実証(PoC)コードが公開されたことで、より多くのAPT(高度標的型攻撃)グループがこの状況を悪用しようとしている。幾つかの攻撃では、ランサムウェアも展開されている。
WSJによると、MicrosoftはこのPoCコードも調査中だ。同社は、「Microsoft Active Protections Program(MAPP)」のパートナー企業に非公開で送信したPoCコードが、故意にあるいは偶然に流出した可能性について調べている。
PoCコードは2月23日に、ウイルス対策企業やサイバーセキュリティ企業に情報を事前に提供する目的で、パッチ公開前に送信された。しかし、WSJによると、その1週間後から始まった攻撃で使用された一部のツールが、非公開のPoCと「類似性」があるという。
MAPPには約80の組織が参加している。
同社は3月12日付けのブログ記事で、脆弱なExchange Serverを保護することが、現在「非常に重要」な課題であり、サポート対象外のExchange Serverのバージョンにもパッチを配布したのはそのためだとしている。
しかし、パッチの適用だけでは、感染済みのサーバーの問題を解決することはできない。そのため同社は、サーバーに侵害された兆候がないか、調査するよう推奨している。
MicrosoftはRiskIQと共同で、パッチを適用しないままオンラインに接続されている、脆弱なサーバーの数を追跡している。3月12日時点で、約8万2000台のサーバーが未だにアップデートを適用されていないようだ。
Joe Biden米政権は、組織がシステムにパッチを適用するまでの猶予は、「数日ではなく、数時間だ」と警告した。また、この状況を調査するためのタスクフォースに参加するよう、民間企業に呼びかけた。
Microsoftの広報担当者は米ZDNetに対し、次のように述べた。「悪意のある攻撃が急増した原因を調査中で、まだ結論は出ていない。Microsoftからの漏えいが、今回の攻撃に関連していることを示す痕跡は見つかっていない」
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。