編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

「Exchange Server」狙う攻撃、侵害後の活動などマイクロソフトが分析

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2021-03-29 11:08

 オンプレミス環境にある多くの「Microsoft Exchange Server」でセキュリティパッチの適用が進む中、Microsoftは米国時間3月25日、過去に攻撃の被害を受けたシステムが今なお複数の脅威にさらされているとの調査結果を発表し、警鐘を鳴らした。

 同社は過去に攻撃の被害を受けたExchangeサーバーに対する二次攻撃の可能性、特にウェブシェルスクリプトのインストールによるサーバーへの永続的なアクセス手段の獲得や、最初の攻撃での認証情報の窃取について警告した。

 Microsoftは2日、Exchange Serverに複数の脆弱性が見つかったことから、4つのゼロデイの脆弱性などに対する緊急セキュリティ更新プログラムをリリースした。また、脆弱性は国家の関与が疑われる中国のAPT(高度標的型攻撃)グループのHafniumに悪用されていると警告した。

 Microsoftは先週、深刻な脆弱性を抱えるExchange Serverのうち、これまでに92%がパッチまたは緩和策を適用したとしていた。しかしサイバーセキュリティ企業のF-Secureは、すでに「何万台もの」サーバーが被害を受けていると指摘している。

 Microsoftはブログの中で、「システムにパッチを適用すれば、必ずしも攻撃者のアクセスが除去されるわけではない」とし、あらためて注意を促している。

 「Microsoft 365 Defender」脅威インテリジェンスチームによると、「被害に遭ったシステムの多くは、人手によるランサムウェア攻撃や、データの流出といった二次攻撃をまだ経験していないことから、攻撃者はアクセス手段を確立し、後日の攻撃に備えてそれを維持している可能性があると考えられる」という。

 Microsoftは既に被害を受けたシステムの管理者に対して、最小権限の原則を適用して、ネットワーク内での水平移動を制限するよう強く推奨している。

 最小権限の原則を適用することで、Exchangeサーバーのサービスや、バックアップのようなスケジュール化されたタスクを高い権限のアカウントとして設定するという一般的なプラクティスへの取り組みが支援される。

 Microsoftは「サービスアカウントの認証情報は頻繁に変更されることがない。このため、ウイルス対策ソフトウェアがウェブシェルに対する初期のアクセスを検出し、その道を封じたとしても、該当アカウントが後の特権昇格攻撃に使用できるという点で、攻撃者に大きなアドバンテージが与えられる恐れがある」と説明している。

 同社によると、例えば「DoejoCrypt」(別名「DearCry」)というランサムウェアは、ウェブシェルを用いて「C:\Windows\Temp\xx.bat」という名称のバッチファイルを作成するという。このファイルはDoejoCryptの被害に遭ったシステムすべてで見つかっており、感染の検出、除去後でも攻撃者がアクセスを取り戻すための手段を提供できるものとなっている。

 Microsoftによると、「このバッチファイルは『セキュリティアカウントマネージャー(SAM)』データベースと、『システム』および『セキュリティ』関連のレジストリーのバックアップを実行することで、攻撃者が同システム上のローカルユーザーのパスワードを入手できるようにするとともに、レジストリー内で各サービスや、スケジューリングされているタスクのパスワードが格納されている、機密度の高い『LSA Secrets』というさらに重要な情報に後々アクセスできるようにする」という。

 被害者が身代金を要求されていないという場合であっても、攻撃者は最初の攻撃で作成したxx.batファイルを用いることで、このウェブシェルを経由してネットワーク内に侵入できるようになる。またこのウェブシェルは、ランサムウェアのペイロードをダウンロードし、ファイルを暗号化するのに先立ち、「Cobalt Strike」というペネトレーションテスト用のキットもダウンロードする。

 Exchangeサーバーは、仮想通貨(暗号資産)の採掘を目的とした犯罪者からも狙われている。「Lemon Duck」という仮想通貨マイニングボットネットが、脆弱性を抱えたExchangeサーバーを狙う事例も確認されている。興味深いことに、Lemon Duckは、Exchangeサーバーからxx.batファイルとウェブシェルを除去し、Exchangeサーバーを独占して使用しようとするという。Microsoftは、これが仮想通貨をマイニングするだけでなく、他のマルウェアをインストールするために利用されていることも分かったとしている。

 Microsoftは、ネットワークディフェンダーがこれらの脅威の存在や認証情報を盗み出す行為の兆候を探す上で利用できる多数のセキュリティ侵害インジケーター(IoC)を公開している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    なぜ、2021年にすべてのマーケターが「行動経済学」を学ばねばならないのか?

  2. セキュリティ

    SIEMとEDRが担うべき正しい役割とは?企業のセキュリティ部門が認識しておくべき適切なツールの条件

  3. クラウドコンピューティング

    デザインシンキングによるAIと課題のマッチング!現場視点による真のデジタル改善実現へ

  4. 経営

    なぜ成長企業の経営者はバックオフィス効率化に取り組むのか?生産性を高めるための重要な仕組み

  5. 仮想化

    Microsoft 365を利用する企業が見逃す広大なホワイトスペースとは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]