「Exchange Server」狙う攻撃、侵害後の活動などマイクロソフトが分析

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2021-03-29 11:08

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 オンプレミス環境にある多くの「Microsoft Exchange Server」でセキュリティパッチの適用が進む中、Microsoftは米国時間3月25日、過去に攻撃の被害を受けたシステムが今なお複数の脅威にさらされているとの調査結果を発表し、警鐘を鳴らした。

 同社は過去に攻撃の被害を受けたExchangeサーバーに対する二次攻撃の可能性、特にウェブシェルスクリプトのインストールによるサーバーへの永続的なアクセス手段の獲得や、最初の攻撃での認証情報の窃取について警告した。

 Microsoftは2日、Exchange Serverに複数の脆弱性が見つかったことから、4つのゼロデイの脆弱性などに対する緊急セキュリティ更新プログラムをリリースした。また、脆弱性は国家の関与が疑われる中国のAPT(高度標的型攻撃)グループのHafniumに悪用されていると警告した。

 Microsoftは先週、深刻な脆弱性を抱えるExchange Serverのうち、これまでに92%がパッチまたは緩和策を適用したとしていた。しかしサイバーセキュリティ企業のF-Secureは、すでに「何万台もの」サーバーが被害を受けていると指摘している。

 Microsoftはブログの中で、「システムにパッチを適用すれば、必ずしも攻撃者のアクセスが除去されるわけではない」とし、あらためて注意を促している。

 「Microsoft 365 Defender」脅威インテリジェンスチームによると、「被害に遭ったシステムの多くは、人手によるランサムウェア攻撃や、データの流出といった二次攻撃をまだ経験していないことから、攻撃者はアクセス手段を確立し、後日の攻撃に備えてそれを維持している可能性があると考えられる」という。

 Microsoftは既に被害を受けたシステムの管理者に対して、最小権限の原則を適用して、ネットワーク内での水平移動を制限するよう強く推奨している。

 最小権限の原則を適用することで、Exchangeサーバーのサービスや、バックアップのようなスケジュール化されたタスクを高い権限のアカウントとして設定するという一般的なプラクティスへの取り組みが支援される。

 Microsoftは「サービスアカウントの認証情報は頻繁に変更されることがない。このため、ウイルス対策ソフトウェアがウェブシェルに対する初期のアクセスを検出し、その道を封じたとしても、該当アカウントが後の特権昇格攻撃に使用できるという点で、攻撃者に大きなアドバンテージが与えられる恐れがある」と説明している。

 同社によると、例えば「DoejoCrypt」(別名「DearCry」)というランサムウェアは、ウェブシェルを用いて「C:\Windows\Temp\xx.bat」という名称のバッチファイルを作成するという。このファイルはDoejoCryptの被害に遭ったシステムすべてで見つかっており、感染の検出、除去後でも攻撃者がアクセスを取り戻すための手段を提供できるものとなっている。

 Microsoftによると、「このバッチファイルは『セキュリティアカウントマネージャー(SAM)』データベースと、『システム』および『セキュリティ』関連のレジストリーのバックアップを実行することで、攻撃者が同システム上のローカルユーザーのパスワードを入手できるようにするとともに、レジストリー内で各サービスや、スケジューリングされているタスクのパスワードが格納されている、機密度の高い『LSA Secrets』というさらに重要な情報に後々アクセスできるようにする」という。

 被害者が身代金を要求されていないという場合であっても、攻撃者は最初の攻撃で作成したxx.batファイルを用いることで、このウェブシェルを経由してネットワーク内に侵入できるようになる。またこのウェブシェルは、ランサムウェアのペイロードをダウンロードし、ファイルを暗号化するのに先立ち、「Cobalt Strike」というペネトレーションテスト用のキットもダウンロードする。

 Exchangeサーバーは、仮想通貨(暗号資産)の採掘を目的とした犯罪者からも狙われている。「Lemon Duck」という仮想通貨マイニングボットネットが、脆弱性を抱えたExchangeサーバーを狙う事例も確認されている。興味深いことに、Lemon Duckは、Exchangeサーバーからxx.batファイルとウェブシェルを除去し、Exchangeサーバーを独占して使用しようとするという。Microsoftは、これが仮想通貨をマイニングするだけでなく、他のマルウェアをインストールするために利用されていることも分かったとしている。

 Microsoftは、ネットワークディフェンダーがこれらの脅威の存在や認証情報を盗み出す行為の兆候を探す上で利用できる多数のセキュリティ侵害インジケーター(IoC)を公開している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

関連記事

関連キーワード
Microsoft
日本マイクロソフト
ランサムウェア
脆弱性(ぜいじゃくせい)
サイバー攻撃

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

投票する

カテゴリランキング

  1. 「Google アカウント」、パスキーで保護が4億以上に--導入から2年で

  2. ゼロトラストを誤解してほしくない--提唱者が説く正しい定義

  3. 自らのビッグデータ分析環境に強み--Splunkのセキュリティ調査部門

  4. パスキーとは--パスワードに代わる認証方法の基礎

  5. セキュリティ業界で働く女性、多様性などを重視、男性との給与格差も--ISC2調査

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]