「Exchange Server」狙う攻撃、侵害後の活動などマイクロソフトが分析

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2021-03-29 11:08

 オンプレミス環境にある多くの「Microsoft Exchange Server」でセキュリティパッチの適用が進む中、Microsoftは米国時間3月25日、過去に攻撃の被害を受けたシステムが今なお複数の脅威にさらされているとの調査結果を発表し、警鐘を鳴らした。

 同社は過去に攻撃の被害を受けたExchangeサーバーに対する二次攻撃の可能性、特にウェブシェルスクリプトのインストールによるサーバーへの永続的なアクセス手段の獲得や、最初の攻撃での認証情報の窃取について警告した。

 Microsoftは2日、Exchange Serverに複数の脆弱性が見つかったことから、4つのゼロデイの脆弱性などに対する緊急セキュリティ更新プログラムをリリースした。また、脆弱性は国家の関与が疑われる中国のAPT(高度標的型攻撃)グループのHafniumに悪用されていると警告した。

 Microsoftは先週、深刻な脆弱性を抱えるExchange Serverのうち、これまでに92%がパッチまたは緩和策を適用したとしていた。しかしサイバーセキュリティ企業のF-Secureは、すでに「何万台もの」サーバーが被害を受けていると指摘している。

 Microsoftはブログの中で、「システムにパッチを適用すれば、必ずしも攻撃者のアクセスが除去されるわけではない」とし、あらためて注意を促している。

 「Microsoft 365 Defender」脅威インテリジェンスチームによると、「被害に遭ったシステムの多くは、人手によるランサムウェア攻撃や、データの流出といった二次攻撃をまだ経験していないことから、攻撃者はアクセス手段を確立し、後日の攻撃に備えてそれを維持している可能性があると考えられる」という。

 Microsoftは既に被害を受けたシステムの管理者に対して、最小権限の原則を適用して、ネットワーク内での水平移動を制限するよう強く推奨している。

 最小権限の原則を適用することで、Exchangeサーバーのサービスや、バックアップのようなスケジュール化されたタスクを高い権限のアカウントとして設定するという一般的なプラクティスへの取り組みが支援される。

 Microsoftは「サービスアカウントの認証情報は頻繁に変更されることがない。このため、ウイルス対策ソフトウェアがウェブシェルに対する初期のアクセスを検出し、その道を封じたとしても、該当アカウントが後の特権昇格攻撃に使用できるという点で、攻撃者に大きなアドバンテージが与えられる恐れがある」と説明している。

 同社によると、例えば「DoejoCrypt」(別名「DearCry」)というランサムウェアは、ウェブシェルを用いて「C:\Windows\Temp\xx.bat」という名称のバッチファイルを作成するという。このファイルはDoejoCryptの被害に遭ったシステムすべてで見つかっており、感染の検出、除去後でも攻撃者がアクセスを取り戻すための手段を提供できるものとなっている。

 Microsoftによると、「このバッチファイルは『セキュリティアカウントマネージャー(SAM)』データベースと、『システム』および『セキュリティ』関連のレジストリーのバックアップを実行することで、攻撃者が同システム上のローカルユーザーのパスワードを入手できるようにするとともに、レジストリー内で各サービスや、スケジューリングされているタスクのパスワードが格納されている、機密度の高い『LSA Secrets』というさらに重要な情報に後々アクセスできるようにする」という。

 被害者が身代金を要求されていないという場合であっても、攻撃者は最初の攻撃で作成したxx.batファイルを用いることで、このウェブシェルを経由してネットワーク内に侵入できるようになる。またこのウェブシェルは、ランサムウェアのペイロードをダウンロードし、ファイルを暗号化するのに先立ち、「Cobalt Strike」というペネトレーションテスト用のキットもダウンロードする。

 Exchangeサーバーは、仮想通貨(暗号資産)の採掘を目的とした犯罪者からも狙われている。「Lemon Duck」という仮想通貨マイニングボットネットが、脆弱性を抱えたExchangeサーバーを狙う事例も確認されている。興味深いことに、Lemon Duckは、Exchangeサーバーからxx.batファイルとウェブシェルを除去し、Exchangeサーバーを独占して使用しようとするという。Microsoftは、これが仮想通貨をマイニングするだけでなく、他のマルウェアをインストールするために利用されていることも分かったとしている。

 Microsoftは、ネットワークディフェンダーがこれらの脅威の存在や認証情報を盗み出す行為の兆候を探す上で利用できる多数のセキュリティ侵害インジケーター(IoC)を公開している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]