コンテンツを開く

テーマのトレンド

Microsoft Exchange ProxyLogonへの重大な攻撃を検出

F-Secure Japan

23.03.21 4 min. read

エフセキュアのシニアセキュリティコンサルタントを務めるAntti Laatikainen (アンティ・ラーティカイネン)は、Microsoft Exchange ProxyLogon の脆弱性は、例えると、企業の正面玄関から全てのアクセスコントロール、守衛、鍵を取り除き、誰もが侵入できる状態の電子版だと説明しています。しかし、Microsoft Exchange Serverの利用企業は、この弱点を最大限に悪用されることを防ぐために、直ちに行動する必要があります。

「どれだけデータが盗まれるかをユーザーが制御できる時間は残り少なくなっています。これらの攻撃は決して黒魔術によるものではありません。EDR(エンドポイントにおける検知と対応)やMDR(マネージド検知と対応)などのセキュリティ監視機能に加え、ネットワークの監視や効果的な経路設定ポリシーを備えている企業であれば、こうした攻撃に対抗することができます。大災害を防ぐために手動で実行できることは数多くありますが、とにかく今すぐ行動することをお勧めします」とLaatikainenは述べています。

2021年3月1日から現在までのTrojan-Downloaderの検出数

3月11日にProxyLogon脆弱性のPoCファイルが公開された後、Trojan-Downloader の活動が急増することが観測されました。Trojan-Downloaderはトロイの木馬の一種で、自分自身をシステムにインストールし、インターネット接続が可能になるまで待って遠隔地のサーバーやウェブサイトに接続し、感染したコンピューターに追加プログラム(通常はマルウェア)をダウンロードするためのものです。Trojan-Downloaderは、先週月曜日にピークを迎えましたが、その後も数万件単位の活動が検出されています。検出数が多い国はイタリア、ドイツ、フランス、英国、米国、ベルギー、クウェート、スウェーデン、オランダ、台湾の順です。

国別のTrojan-Downloader検出数

緊急の対応が必要

攻撃者は、ハッキングしたサーバーを素早く乗っ取り、ファイルやプログラムをアップロードして、そのサーバーを踏み台にしてネットワークの他の部分に侵入することができます。ProxyLogonによって、サーバーへの高権限のアクセスが可能になるため、そこから組織内の他のネットワークへのアクセスされ、広範なネットワーク内への侵入が可能になります。

サイバーセキュリティ業界で最も恐れられているのは、今この瞬間にも、企業ネットワーク内で何十、何百というフィンランドのVastaamo社と同様のデータ漏えいが発生していることです。これらの情報漏えいは、まったく気づかないうちに水面下で進行している可能性があります。何が盗まれたのかが明らかになるのは、数ヶ月から数年後のことです。データはすでに盗まれているか、今まさに盗まれようとしている可能性が高いと言えます。

事態を更に悪化させているのが、検証済みの自動化された攻撃スクリプトが公開されており、たとえ未熟な攻撃者であっても、脆弱なMicrosoft Exchange Serverを素早く遠隔操作することが可能になっています。また、Metasploitアプリケーションに公開されている脆弱性チェーンを悪用するための完全な機能を持つパッケージもあります。Metasploitは、一般的にハッキングテストとセキュリティテストの両方に使用されます。この万人に開放された攻撃の機会を利用して、膨大な数の犯罪組織、国家が支援する脅威アクター、そして好奇心旺盛な日和見主義の「スクリプトキディ」が攻撃を仕掛けているのです。

既に侵害されていると想定すべき

「世界中で何万台ものサーバがハッキングされています。」とLaatikainenは語っています。「数えるのが間に合わないほどの速さでハッキングされているのです」

エフセキュアの分析では、インターネット上にあるExchange Server のうち、この脆弱性に対してマイクロソフトのパッチを適用されているサーバーは、約半数に過ぎません。さらに、セキュリティパッチをインストールしただけでは、サーバの安全性は保証されません。アップデートのインストール前にハッカーが侵入している可能性があるからです。

「私がこの業界で過ごした20年間で、Exchange Server がインストールされている世界中の企業で、少なくともデジタルノックが行われていると想定することがこれほど正当化されたことはありませんでした。非常に簡単にアクセスできてしまうことから、これらの環境の大部分が侵害されていると考えるべきです。」とLaatikainenは警告します。

まだ被害は抑えられる

このような侵害は段階的に行われるため、侵入者による偵察が検知されることがよくあります。被害を最小限に留めたり、場合によっては完全に防ぐことも可能です。

Laatikainenは、企業がまもなく侵害を報告し始めるだろうと予想しています。「GDPRデータ保護規制では、個人データの盗難は72時間以内にデータ保護当局に報告しなければならないと定められたいます。今後数週間のうちに、GDPRに報告される違反の件数は歴史的なものになると予想されます。今日、正しい手順を実行すれば、あなたの会社が明日、情報漏えいを報告した企業の長いリストに載ることはないでしょう」

 

F-Secure Japan

23.03.21 4 min. read

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。