FBI、「Exchange」の脆弱性対応で米国内サーバーのウェブシェルを強制除去

Chris Duckett (ZDNet.com.au) 翻訳校正: 編集部

2021-04-14 13:21

 米国内で「Microsoft Exchange」サーバーを運用していた場合、攻撃者に侵害され、その後知らないうちに米連邦捜査局(FBI)によって問題が緩和されていた可能性がある。

FBI

 米司法省は米国時間4月13日、FBIに対して、Exchangeの脆弱性を悪用してサーバーに不正にインストールされていたウェブシェルを削除する権限が与えられたことを明らかにした。

 米司法省は「感染したシステムの所有者の多くは、数千台のコンピューターからウェブシェルを削除することに成功した。しかし、それを行えないと見られる所有者もおり、数百のウェブシェルが、問題が緩和されないまま残存していた」と述べている。

 「今回の措置では、米国のネットワークに対する持続的な不正アクセスの維持・拡大に使用される可能性があった、残存していたウェブシェルを削除した」

 この措置が行われたにも関わらず、Exchangeサーバーの所有者には、Microsoftのアドバイスに従い、サーバーに正しくパッチを適用することが推奨されている。

 米司法省は「FBIは、ウェブシェルを通じてサーバーに対して命令を送ることで削除を実行した。この命令は、サーバーが(個別のファイルパスによって特定された)ウェブシェルだけを削除するように設計されたものだ」と述べている。

 「この措置では、ウェブシェルをコピーして削除することに成功した。しかし、Exchange Serverに存在するゼロデイ脆弱性にパッチを適用したり、ハッキンググループがウェブシェルを悪用して被害者のネットワーク上に導入した可能性があるその他のマルウェアやハッキングツールを探したり、削除したりすることはしていない」

 また米司法省は、ウェブシェルのファイルパスとファイル名はそれぞれ異なっているため、「個々のサーバー所有者」がこれらを発見して削除することは難しかったかもしれないと付け加えた。同省は、3月末の時点で、米国内のサーバーで稼働中のウェブシェルが「数百」存在していることを把握していたという。Microsoftがこの脆弱性について最初に警告を発したのは3月の初めだ。

 FBIは現在、ウェブシェルを削除したサーバーの所有者に警告を送ろうと試みているという。

 国家安全保障担当司法次官補のJohn C. Demers氏は、「裁判所の許可を得て本日行われた悪質なウェブシェルの削除は、起訴を行うだけでなく、あらゆる法的手段を用いてハッキング行為を阻止するという司法省の姿勢を示している」と述べた。

 Microsoftは3月24日に、脆弱性が存在するサーバーの92%にパッチか緩和策が適用されたと発表している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    2025年はクラウドを標的にする攻撃が増加!?調査レポートに見る、今後警戒すべき攻撃トレンド

  5. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]