Exchange Serverのハッキングに対するマイクロソフトの対応が、攻撃範囲の拡大に伴い精査されている
トッド・ビショップ著
セキュリティジャーナリストのブライアン・クレブス氏が月曜日に発表した新たなレポートによると、マイクロソフトはパッチをリリースする2か月前の1月初旬に、Exchange Serverのこれまで知られていなかった脆弱性を悪用した最初の攻撃を認識していたという。
一部の推計によると、この攻撃によって侵害されたサーバーの数は世界中で数十万台に上ります。マイクロソフトは最初の攻撃は中国と関係のあるハッカーによるものとしましたが、先週、「複数の悪意のある攻撃者」による攻撃が継続中であると述べました。同社は、Exchange Serverをご利用のユーザーに対し、できるだけ早く更新プログラムをインストールするよう呼びかけています。
これは、ソーラーウィンズへのハッキング被害に未だ対応に追われている多くのIT管理者にとって困難な時期に起きた。ホワイトハウスのジェン・サキ報道官は金曜日の定例記者会見でこの問題について問われ、これを「進行中の脅威」と表現し、バイデン政権は影響範囲の把握に取り組んでいると述べた。
「確認された攻撃では、脅威アクターはこれらの脆弱性を利用してオンプレミスのExchangeサーバーにアクセスし、メールアカウントへのアクセスを可能にしました。さらに、追加のマルウェアをインストールすることで、被害者の環境への長期的なアクセスを可能にしました」と、同社は最初のブログ投稿で述べています。「Microsoft Threat Intelligence Center (MSTIC) は、観察された被害者、戦術、手順に基づき、この攻撃は中国を拠点とし、国家の支援を受けていると評価されているグループであるHAFNIUMによるものと高い確度で判断しています。」
同社は3月2日にExchange Server 2013、2016、2019のバグに対処するためのアップデートをリリースし、通常のサポートライフサイクルを過ぎていたにもかかわらず、例外的にExchange Server 2010もアップデートした。
「つまり、攻撃者が悪用した脆弱性は、Microsoft Exchange Serverのコードベースに10年以上前から存在していたということです」とクレブス氏はタイムラインに記している。「このタイムラインは、Microsoftが最終的に3月2日にリリースした修正プログラムをリリースするまでの約2ヶ月間、あるいは攻撃者が無差別にこの脆弱性を悪用し始める前に、数十万ものExchangeユーザーがこの脆弱性による脅威を軽減できるよう支援する時間的余裕があったことを意味します。」
米サイバーセキュリティ・インフラセキュリティ庁は週末、この脆弱性が「国内外で広く悪用されていることを認識している」と述べた。
