「Exchange Server」攻撃が世界中で拡大、対応支援の要請殺到 中国の集団が関与か：この頃、セキュリティ界隈で（2/2 ページ）

[鈴木聖子，ITmedia]

　対策としてMicrosoftは、Exchange Serverを使っている組織に対し、緊急パッチを適用してオンプレミスのExchange環境を最新の状態に更新することを勧告。ただし、たとえパッチを適用したとしても、「既にサーバに侵入している敵を排除することはできない」とした。

Microsoft Security Response Centerでの勧告

　すぐにはパッチを適用できない組織のための緩和策も紹介しているが、「そうした緩和策は、もしも既にExchangeサーバが不正侵入されていた場合の問題解決にはならず、攻撃を完全に防御することもできない」（Microsoft）

　セキュリティ専門ジャーナリスト、ブライアン・クレブス氏が運営する「KrebsOnSecurity」の5日の記事によると、Microsoftが緊急パッチを公開してからの3日間で、Hafniumはまだパッチが適用されていないExchange Serverを狙い、世界中で攻撃を激化させた。

　今回の脆弱性は、セキュリティ企業DEVCOREやVolexityからの報告を受けて発覚した。両社が異常を検知したのは2021年1月5日〜6日にさかのぼる。詳しく調べた結果、その時点で未解決だったExchange Serverの脆弱性が悪用されていることが分かった。

　「Microsoftがパッチを公開した日にパッチを適用したとしても、サーバに（遠隔操作ツールの）Webシェルが存在している確率は高い。もしもExchangeを運用していてまだパッチを適用していなければ、あなたの組織は既に侵入されている確率が非常に高い」（Volexityのスティーブン・アデア社長）

　KrebsOnSecurityによれば、米国内で被害に遭った組織は、金融機関や通信事業者、警察、消防、地方自治体なども含めて少なくとも3万に上る。世界では数十万の組織が遠隔操作ツールを埋め込まれたと推定される。

　MicrosoftはHafniumによる攻撃の兆候を検知するためのスクリプトや、脆弱性のあるサーバを見つけ出すためのスクリプトを公開した。米国土安全保障省のサイバーセキュリティ機関CISAも繰り返し警戒を促し、全組織に対して対応を強く促している。

　しかしMicrosoftの緊急パッチを適用したとしても、その前に不正侵入されていれば問題は解決できない。KrebsOnSecurityによると、今回の脆弱性を発見したVolexityやセキュリティ専門家に対しては、被害が確認された自治体などから問い合わせが殺到するなど、膨大な数の組織が助けを必要とする状況にある。

　「侵入者を排除するためには、前例のない国家的な緊急対応を要する。被害者がバックドアの除去に時間を取られるほど、侵入者に追加的なバックドアをインストールされる確率は高まり、被害者のネットワークインフラの他の部分にも攻撃が広がるかもしれない」。KrebsOnSecurityはそう警告している。