米連邦捜査局(FBI)は、脆弱性が存在するバージョンの「Microsoft Exchange Server」を使用していた米国内の多数のコンピューターから悪質なWebシェルを削除した。米司法省が米国時間4月13日に行った発表で明らかにした。この措置は、多くの組織の安全確保に役立つと考えられる一方で、サイバーセキュリティの今後の方向性に関する議論を巻き起こしている。
2021年に入り、Microsoft Exchange Serverに存在する4つのゼロデイ脆弱性が発見された。これらの脆弱性は、その時点ですでに国家の支援を受けたハッキング攻撃で活発に利用されていたとみられる。Microsoftは、これらの脆弱性を悪用したサイバー攻撃からExchange Serverの顧客を守るために、3月に緊急のセキュリティ更新プログラムを公開した。しかし、かなりの数の組織は、このセキュリティパッチを適用していない状態のままだったようだ。
これらの組織は、国家の支援を受けた攻撃グループや、ランサムウェア攻撃グループ、クリプトジャッカーなどをはじめとする、Exchangeの脆弱性を悪用しようとするグループから殺到するサイバー攻撃に対して脆弱な状態にあった。
攻撃者らは、これらの脆弱性を悪用してWebシェル(リモートから管理者権限で実行可能なスクリプトやコード)を送り込んだ。これらのWebシェルを利用すると、バックドアから継続的に不正にアクセスし、サイバー諜報やその他の悪質な活動を行うことが可能になる。FBIが今回の作戦を実行したのは、このWebシェルを除去するためだった。
まだ緩和措置が適用されていない数百のWebシェルが特定され、数百台のシステムから削除された。米司法省は、まだ残存していたあるハッキンググループの手によるWebシェルを除去したと述べている。
FBIのサイバー対応部門担当副次官補を務めるTonya Ugoretz氏は、「この作戦は、連邦政府と民間企業の継続的なパートナーシップを通じてサイバー脅威と戦うための、FBIの取り組みの一例だ」と述べた。
同氏はまた、「今回の成功によって、悪質なサイバー攻撃者たちは、私たちには国家安全保障や米国民および国際的なパートナーの公共の安全を脅かすサイバー侵入行為にリスクを負わせ、代償を払わせる意思があることを思い知らせるものとなったはずだ」と付け加えている。
このような措置が取られたのは、このWebシェルが企業に及ぼす脅威が大きかったためだ。FBIは、Webシェルを除去したすべての企業に通知を送ろうとしていると述べている。これはFBIが、所有者の知らないうちにシステムにアクセスしたことを意味している。
その意図が善良であっても(目的がサイバー攻撃者のアクセス手段を除去して企業を守ることであり、裁判所の許可を得ていたとしても)、今回の措置は、法執行機関によるものとしては従来よりも大きく踏み込んだものだといえる。