Microsoft Exchange Serverの脆弱性を突いたゼロデイ攻撃により、オンプレミスでExchange Serverを運用している企業に侵入するための足掛かりとしてこの脆弱性が悪用される可能性があります。一旦侵入が成功すると、電子メールアカウントやその他のデータへのアクセスが可能になるだけでなく、追加のマルウェアがインストールされ、標的の環境への長期的なアクセスが容易になります。
マイクロソフトは3月3日(日本時間)、企業向けメール・予定管理サービス「Microsoft Exchange Server」製品の脆弱性に対して、定例外でセキュリティ更新プログラムを公開しました。マイクロソフトが公開した脆弱性7件の更新プログラムのうち、4件については、脆弱性を悪用した攻撃が確認されており、攻撃キャンペーンに中国のハッカー集団であるHAFNIUMの関与した可能性について言及されています。
これを受けて米国政府も現地時間翌3月3日に緊急指令を発行。連邦政府機関に対策や報告を求めています。日本でも、独立行政法人情報処理推進機構 (IPA)が注意を呼びかけています。対象製品を利用している企業のシステムの管理者は、マイクロソフトから提供された修正プログラムの適用をお願いいたします。
対象となるソフトウェア
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2010 (多層防御の観点での修正)
なお、Exchange Onlineは本脆弱性の影響を受けないとのことです。
確認されている脆弱性の悪用
マイクロソフトが公開したレポートでは、すでに下記の脆弱性を悪用した攻撃が確認されております。
対策
Exchange Server 2019、2016、2013 用のセキュリティ更新プログラム
- マイクロソフトのセキュリティ修正プログラムを適用ください。各製品の修正プログラムについては以下のサイトを参照してください。
- Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)
- マイクロソフトから以下の緩和策が案内されています。
- Exchangeサーバーに対して信頼できない接続を制限
- Exchangeサーバーを外部アクセスから分離するためにVPNを設定
注意:
-
- マイクロソフトは、外部ネットワークに接続している Microsoft Exchange Server に対しての修正プログラムを優先的に適用することを推奨しています。
- これらの緩和策は攻撃の初期段階のみで有効です。攻撃者が既にアクセスできるまたは管理者権限を有している状態で、悪意のあるファイルを実行できる場合には、 他の段階の攻撃を実行することが可能です。
エフセキュアでは今回のケースに関するQ&Aおよびエフセキュア製品を使用した対策についてまとめてみました。
Q&A
Q: 企業にとっては迅速に対応が必要となるのか?
A: はい。マイクロソフトが公開するパッチを適用するために24時間365日体制のチームで迅速に対応することが望ましいです。
Q: どのような企業がMicrosoft Exchange Serverを使用しているのか?
A: 業種/規模を問わず、数多くの企業がExchange Server を使用しています。
Q: 企業は具体的に何を恐れなければならないのか?データ漏えいなのか?予測される被害規模は?
A: データ漏えいやバックドアの設置などが考えられますが、、現時点では被害を予測することは非常に困難です。
Q: 攻撃者たちの狙いは何か?
A: サイバー攻撃の目的は往々にして金銭的なものです。影響を受けた企業は最終的には恐喝を受ける可能性が高いと考えます。データが盗まれると、攻撃者はそれを暗号化して身代金を要求するか、情報を公開すると脅すか、それらのどちらか、または両方のケースが考えられます。
Q: 「強力なグローバル・スキャン活動」とはどのようなものなのか?
A: 壊れたドアの鍵を探すためにノックをするようなものであり、攻撃者が直接何も盗まなかったとしても、ドアや窓を開けたままにしておくようなものだと言えます。
ドアを「ノック」する行為はインターネット上ではスキャンと呼ばれており、さらに増加してきています。攻撃者にとっては、開いているネットワークがあまりに数多く存在するため、全てに対してエクスプロイトを仕掛けることができない状態になっています。
Exchange Serverの脆弱性は後々バックドアを開くことになるため、今後数ヶ月の間に多くのデータ漏えいや恐喝が発生することになると考えられます。
企業はこの脆弱性の問題を解決するだけでなく、ネットワーク上の攻撃者を積極的に探索し対応する必要があります。全ての企業はセキュリティ確保のために、この脆弱性が悪用されて攻撃者が既に内部に侵入していると仮定して攻撃者を探索しなければなりません。
Q: 一般市民への間接的な危険は?
A: Exchange Serverの全ての利用者は潜在的にこの脆弱性による危機にさらされていると言えます。攻撃者の標的が明らかでなくとも、企業のネットワークの侵害はもちろん、さらなる問題を引き起こす可能性があり、潜在的な一般市民への間接的な危険があります。
Q: 企業はなぜクラウドへの移行に慎重なのか?
A: 残念ながら、人々や企業は常に新しい技術に対してオープンであるとは限りません。「迅速性やクオリティは確保できなくてもシステムを完全にコントロールしたい」や「これまでのやり方で問題がない」という考えはITセキュリティにおいては非常に危険です。
Q: マイクロソフトが公開したパッチは効果があるのか?
A: マイクロソフトのパッチは確実に脆弱性を解決するため、効果はあり、運用は必須です。ただし、既にバックドアが仕掛けられてしまった後にパッチを適用しても修復はできません。
エフセキュア製品を使用した対策
- F-Secure Protection Service for Business (PSB)
- F-Secure PSBの一部である ディープガード機能は、HAFNIUMが実行するアクションの1つであるUmWorkerProcess.exeによって実行される異常なアクティビティを検知することが可能です。
- また、F-Secure PSB の機能の一部であるソフトウェアアップデータを使うことで、未適用の脆弱性対応パッチの有無の確認やパッチ適用の管理を行うことができます。
- F-Secure Rapid Detection & Response (RDR)
- F-Secure RDRで使用されている EDR センサーは、エクスプロイトを利用して初期アクセスを検知した後、HAFNIUMがシステム活動/攻撃の実行を開始した場合に、その動きを検出して管理者に警告することができます。
- F-Secure Radar
- F-Secure Radarは、Exchange Server に対して認証スキャンを実施することで、パッチが適用されていない Exchangeソフトウェアを検出し、脆弱性を特定できます。
- さらに、新しいRadar Endpoint Agentは Exchange ソフトウェアの脆弱性をサーバー内部から検出することができます。
カテゴリ