FBI、「Exchange Server」攻撃を受けた未対策サーバのWebシェル削除を“代行”

» 2021年04月14日 11時06分公開

　米司法省は4月13日（現地時間）、1月ごろから拡大した「Microsoft Exchange Server」の脆弱性を悪用する大規模な攻撃を受け、まだ自ら対処できていない米国内の数百の脆弱なサーバから悪意あるWebシェルを削除するための承認を裁判所から得たと発表した。

　この攻撃は、Exchange Serverのゼロデイ脆弱性を悪用してメールアカウントにアクセスし、継続的なアクセスのためにWebシェルを配置するというもの。Microsoftが提供したツールなどで感染したシステムの多くが自ら対処したが、まだWebシェルを削除できていないサーバが残っていた。

　裁判所の承認により、米連邦捜査局（FBI）がWebシェルを介してサーバにコマンドを発行することで削除を実行した。このWebシェルは、問題のWebシェルのみを削除できるよう設計されているとしている。

　この操作でWebシェルは削除できたが、ゼロデイ脆弱性の修正やWebシェルによってネットワークに配置された可能性のあるハッキングツールの削除は別途行う必要がある。

　FBIは、Webシェルを削除したサーバの所有者に通知する予定。

Microsoft、4月の月例更新で悪用されたExchange問題を含む多数の脆弱性に対処　「Edge Legacy」は消滅
Microsoftが月例更新“Patch Tuesday”の配信を開始した。危険度最高19件を含む100以上の脆弱性が修正される。また、「Edge Legacy」はこの更新で消滅する。
「Exchange Server」攻撃対策、92％以上が適用　まだ3万以上のインスタンスが不適用
Microsoftが「Exchange Server」の脆弱性を突く攻撃への対策状況を説明した。世界中の脆弱性のあるExchange Serverの92％以上にパッチの適用または緩和策の適用が行われたとしている。
Microsoft、ワンクリックの脆弱性緩和ツール公開　「Exchange Server」の脆弱性悪用続く
MicrosoftはExchange Serverの脆弱性を突いた攻撃に、さらなる方策を打ち出した。
「Exchange Server」攻撃が世界中で拡大、対応支援の要請殺到　中国の集団が関与か
緊急パッチを適用しても、既に不正侵入されていた場合の修復は不可能。被害に遭った組織は全世界で数十万という。