欧州議員のメールに不正アクセス、MSが調査で言及も

「Exchange ActiveSyncの脆弱性が利用された」とする一部報道に対し、Microsoftは「証明書の認証処理問題にあるよう」と結論付けた。

[鈴木聖子，ITmedia]

　欧州議会で一部議員のメールが不正アクセスされる事件が発生したという。米Microsoftは不正アクセスの原因として、サードパーティー端末での証明書の認証方法に問題があったとの見方を示し、私物端末の業務利用（BYOD）に関するセキュリティ対策の重要性を説いている。

　Microsoftの11月26日のブログによると、欧州議会議員のメールに対する不正アクセス事件では、一部報道で、モバイル端末をExchangeメールボックスと同期させるためのクライアントプロトコル「Exchange ActiveSync」の脆弱性が利用されたと伝えられた。

　しかし、「この報道は誤りだった」とMicrosoftは断定し、「これまでの調査の結果、問題はActiveSyncプロトコルの脆弱性にあるのではなく、サードパーティー端末での証明書の認証処理方法に起因することが分かった」と結論付けている。

　Microsoftによると、この攻撃経路については2012年のセキュリティカンファレンスBlack Hatでも紹介されたことがあり、Windows Phoneの最近のバージョンには、この種の攻撃を阻止するための対策が盛り込まれている。「実際に、Windows PhoneにおけるMicrosoftのExchange ActiveSync実装では、端末が不正な証明書を信頼できるものとして扱うことはない」という。

　一方で、MicrosoftからExchange ActiveSyncをライセンスしているサードパーティーのソフトウェア開発者は、ユーザーがメールを受信できるようにするためにExchange ActiveSyncに手を加えることがある。この場合、「Exchange ActiveSyncプロトコルをセキュアに実装する責任はサードパーティーのソフトウェア開発者にある」とMicrosoftは強調する。

　BYOD戦略について検討している企業などは、組織内に持ち込まれる端末のさまざまなセキュリティ機能について十分に理解しておくことが必要だとMicrosoftは助言している。