Microsoftの電子メールサーバソフト「Exchange Server」の脆弱性を突く攻撃が、世界中で急拡大している。攻撃には中国のサイバースパイ集団が関与しているとされ、被害に遭った組織は少なく見積もっても米国だけで3万、世界中で数十万と推定される。Microsoftの緊急パッチを適用したとしても、既に不正侵入されていた場合の修復は不可能。世界的な被害の全容は把握できていない。
MicrosoftがExchange Serverの緊急パッチをリリースして脆弱性に対処したのは米国時間の3月2日。脆弱性はオンプレミス版Exchange Serverに存在していて、今回修正された7件の脆弱性のうち4件が、2日の時点で既に標的型攻撃に利用されていた。8日現在も、緊急パッチが適用されていないシステムを狙って複数の集団が攻撃を続けている。
一連の攻撃では、何者かが脆弱性を悪用してExchange Serverにアクセスを確立し、そのサーバを遠隔操作するためのハッキングツール「Webシェル」を作成。これを使って被害組織の電子メールアカウントに侵入し、データを盗み出していた。攻撃者が被害者の環境を長期的に監視するため、さらなるマルウェアをインストールすることも可能な状態にある。
Microsoftはこの攻撃について、被害状況や手口などから判断して、中国国家が関与する集団「Hafnium」が仕掛けていることはほぼ間違いないとの見方を示した。
Hafniumは極めてスキルが高い最先端の攻撃を仕掛ける集団で、以前から主に米国の感染症研究者や防衛産業などさまざまな組織を標的として、被害者のネットワークに不正アクセスしてデータを抜き取る攻撃を展開していたという。
MicrosoftがExchange Serverの脆弱性を修正する緊急パッチをリリースした後は、Hafnium以外にも、この問題を悪用する集団が増え続けている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR