SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

チェック・ポイント、Microsoftのゼロデイ脆弱性に関する調査結果を発表

 チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)の脅威インテリジェンス調査部門であるチェック・ポイント・リサーチ(Check Point Research)はMicrosoft Exchange Serverで4件の脆弱性が明らかになったことを受け、世界中の組織に対するエクスプロイト試行に関する最新の調査結果を発表した。

 2021年3月3日(日本時間)に、MicrosoftがMicrosoft Exchange Serverの脆弱性を公表してから、ハッカーとセキュリティ専門家の間で競争が始まっているという。Microsoft Exchange Serverのリモートコード実行の脆弱性を悪用したエクスプロイト作成のため活動しているハッカーに対抗しようと、世界中でセキュリティの専門家による大規模な予防的措置が講じられている。一旦Microsoft Exchange Serverを乗っ取ると、攻撃者はインターネットのネットワーク経由により、遠隔でアクセスできるようになるという。Microsoft Exchange Serverの多くにインターネットからのアクセス機能があり(特にOutlook Web Access機能)、広範なネットワークに統合されているため、何百万もの組織にとって重大なセキュリティ上のリスクとなるとしている。

チェック・ポイント・リサーチの主な調査結果

攻撃の試行数

 最も攻撃を受けた国は米国(攻撃全体の17%)、次いでドイツ(6%)、英国(5%)、オランダ(5%)、ロシア(4%)と続いている。

a
[画像クリックで拡大]

 最も攻撃を受けた業種は政府/軍関係(攻撃全体の23%)、次いで製造(15%)、銀行/金融サービス(14%)、ソフトウェアベンダー(7%)、医療関係(6%)となった。

a
[画像クリックで拡大]

ゼロデイ攻撃増加までの経緯

 2021年3月3日、Microsoftは、Microsoft Exchange Server製品の緊急パッチをリリースした。電子メールの送受信やカレンダーの招待状など、OutlookでアクセスするほぼすべてがMicrosoft Exchange Serverを経由しているという。

 2021年1月、台湾のセキュリティ企業のDEVCOREのチェンダ・サイ(Cheng-Da Tsai)氏〔Twitterアカウント名:オレンジ・サイ(Orange Tsai)〕が、Microsoft Exchange Serverに2件の脆弱性を発見している。これを受けてMicrosoftがすぐに調査を進めたところ、Microsoft Exchange Serverに新たに5件の重大な脆弱性が見つかったという。これらの脆弱性により、攻撃者は認証や個人の電子メールアカウントへアクセスを要さずMicrosoft Exchange Serverからメールを読むことができる。また、こうした脆弱性が続くと、攻撃者はメールサーバそのものを完全に乗っ取れるリスクを抱えていたとしている。

オレンジ・サイ(Orange Tsai、https://twitter.com/orange_8361/status/1346401788811825153)が、Twitterで認証前のリモートコード実行チェーンに関するティーザーを公開(2021年1月5日)
オレンジ・サイ(Orange Tsai、https://twitter.com/orange_8361/status/1346401788811825153)が、Twitterで認証前のリモートコード実行チェーンに関するティーザーを公開(2021年1月5日)
[画像クリックで拡大]

危険な組織

 Microsoft Exchange Serverの最新パッチを使用しないまま、もしくはチェック・ポイントなどサードパーティのソフトウェアで保護せずMicrosoft Exchange Serverをオンラインに接続している場合、サーバは完全に侵害されていると考えるべきだという。サーバが侵害されていると、不正な攻撃者に企業メールが抽出され、高い権限で組織内に悪意のあるコードが実行可能となる。

技術的な詳細

  • CVE-2021-26855は、Microsoft Exchangeのサーバサイドリクエストフォージェリ(SSRF)の脆弱性で、攻撃者が任意のHTTPリクエストを送信するとMicrosoft Exchange Serverとして認証される
  • CVE-2021-26857は、Unified Messaging Serviceの一つの文字列やバイト列に変換されたデータを、もとの複合的なデータ構造やオブジェクトの実行状態などに復元する、安全でないデシリアライゼーションの脆弱性。安全でないデシリアライゼーションとは、信頼できないユーザーが制御できるデータがプログラムによってデシリアライズされることだとしている。この脆弱性を悪用すれば、HAFNIUM(ハフニウム)はMicrosoft Exchange Server上でSYSTEMとしてコードを実行できるようなる。そのためには管理者の許可を取るか、他の脆弱性を悪用する必要がある
  • CVE-2021-26858は、Microsoft Exchange Serverでの認証後の任意のファイル書き込みの脆弱性。Microsoft Exchange Serverで認証できれば、HAFNIUMはこの脆弱性を利用してサーバ上のパスに書き込みを行うことができるという。CVE-2021-26855 SSRF脆弱性を悪用、あるいは正規の管理者の認証情報を侵害することで認証可能
  • CVE-2021-27065は、Microsoft Exchange Serverでの認証後の任意のファイル書き込みの脆弱性。Microsoft Exchange Serverで認証できれば、HAFNIUMはこの脆弱性を利用してサーバ上のパスに書き込みを行うことができるとしている。認証は、CVE-2021-26855 SSRF脆弱性を悪用、あるいは正規の管理者の認証情報を侵害することで可能

今後の攻撃予防推奨方法

  • パッチ:Microsoft Exchange Serverを今すぐ更新し、マイクロソフトから入手できる最新のパッチを適用する。この更新は自動では実施されないため、手動で行う必要がある
  • 脅威防御対策:チェック・ポイントは、マイクロソフトから報告された脆弱性に対して次の通り脅威防御対策を実施し、包括的なセキュリティを提供する
IPS
  • CVE-2021-26855 - CPAI-2021-0099
  • CVE-2021-26857 - CPAI-2021-0107
  • CVE-2021-26858 - CPAI-2021-0107
  • CVE-2021-27065 - CPAI-2021-0099
脅威エミュレーション
  • Trojan.WinsCVE-2021-27065.A
ウイルス対策
  • HAFNIUM.TC. XXX
  • Trojan.Win32.Hafnium.TC.XXX
チェック・ポイントのSandBlast Agent
  • Behavioral.Win.SuspExchange.A
  • Behavioral.Win.SuspExchange.B
  • Behavioral.Win.SuspExchange.C
  • Behavioral.Win.SuspExchange.D

 今回の攻撃は「Sunburst」と同様、特に一般的なプラットフォームがフロントドアとして使用され、ネットワーク内にひそかに侵入し、長期にわたり滞在するためのフロントドアとして使用されている。唯一の救いは、高度な技術を備え資金も十分にある脅威アクターでなければ、フロントドアを利用して世界の何万もの組織に侵入できる可能性はないことだという。

 こうした攻撃の目的や、サイバー犯罪者がネットワーク内で実行しようとしていたことはまだ不明。リスクにさらされた組織はMicrosoft Exchange Serverに対して予防的措置を講じるだけでなく、ネットワークに生きた脅威がないか十分確認し、調査する必要があるとしている。

【関連記事】
チェック・ポイント、2021年のサイバーセキュリティ予測を発表 ディープフェイクの武器化などに警鐘
75%がパブリッククラウドのセキュリティを懸念していると判明 チェック・ポイントがレポートを発表
アルテリア・ネットワークスとチェック・ポイント、中小企業向け「ビジネスセキュリティ UTM」を提供開始

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/14130 2021/03/21 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング