Microsoft Exchange Serverにゼロデイ脆弱性 標的型攻撃を確認

Microsoft Exchange Serverに2つのゼロデイ脆弱（ぜいじゃく）性が発見された。既にこの脆弱性を悪用した標的型攻撃が確認されており、該当する製品を使用している場合は緩和策を適用することが望まれる。

[後藤大地，有限会社オングス]

　Microsoftは2022年9月29日（現地時間）、「Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server」を発表し、Microsoft Exchange Serverにおける2つの脆弱性を調査している伝えた。この2つの脆弱性はゼロデイ脆弱性と考えられており、同社は既に限定的な標的型攻撃を確認したと説明している。

　影響を受けるとされるプロダクトは次の通りだ。

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

　本記事執筆時点（2022年10月3日）では、アップデートの提供は行われていない。アップデートの提供開始までは緩和策を適用することが望まれる。

Microsoft「Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server」のページトップ（出典：同社のWebページ）

ゼロデイ脆弱性が既に悪用されている

　Microsoftが悪用を確認した脆弱性は次の2つだ。