MSメールサーバー攻撃、被害拡大の恐れ 米新政権の試金石に
コネクティビティ

Four new hacking groups have joined an ongoing offensive against Microsoft’s email servers MSメールサーバー攻撃、被害拡大の恐れ 米新政権の試金石に

マイクロソフトのエクスチェンジ・サーバーを標的にしたハッカーからの攻撃はエスカレートしている。その目的はバイデン政権の対応を探っているようにも見える。 by Patrick Howell O'Neill2021.03.16

マイクロソフトが明らかにした大規模なハッキング活動が急速に拡大している。少なくとも4つの別々のハッキング集団が、マイクロソフトの電子メール・サーバーソフトの重大な欠陥を狙って攻撃しており、米国政府は、世界中で数十万人に被害を与える可能性がある「国内外での広範な悪用が広がっている」と発表している。

ハフニウム(Hafnium)と呼ばれる中国政府に関連するハッカー集団による、マイクロソフトのエクスチェンジ・サーバー(Exchange server)の脆弱性の悪用は2021年1月に始まっている。だが、マイクロソフトが3月2日に大規模な活動の存在を 明らかにして以来、さらに4つのグループが参加し、ハフニウムはあからさまに実行する攻撃の数を増やしている。被害者のリストは増え続けており、その中には新たなグループが標的とした数万もの米国企業や政府機関もある。

サイバーセキュリティ会社レッド・カナリー(Red Canary)のインテリジェンス・チームを率いてハッキング事件を調査しているケイティ・ニッケルズは、「少なくとも5つの異なるクラスターが脆弱性を悪用していると見られます」と述べる。サイバー空間での脅威を追跡調査する際、インテリジェンス・アナリストたちは一連のハッキング活動を、特定の手法や戦術、手順、機械、関係者、およびその他の特徴によって分類してハッキングの脅威を追跡する。

マイクロソフトによると、ハフニウムは中国の巧妙なハッキング・グループで、長年にわたって米国に対してサイバー・スパイ活動を実施してきた。彼らは、いわば生態系の頂点にいる捕食者であり、彼らの後には決まってハイエナのように抜け目なく獲物にありつこうとする者たちが続く。

マイクロソフトの3月2日の発表後から、活動は一気に活発化している。しかし、これらのハッキング・グループが誰なのか、何を求めているのか、どのようにサーバーにアクセスしているのかは明らかになっていない。ニッケルズは、最初のハフニウム・グループがエクスプロイト・コード(セキュリティ上の脆弱性を攻撃するプログラム)を販売または共有した可能性もあるし、他のハッカーがマイクロソフトによって公開された修正プログラムを元に、エクスプロイト・コードをリバース・エンジニアリングした可能性もあると説明する。

「問題は、これらすべてについて実態がつかみにくく、重なっていることです」とニッケルズは述べる。「私たちが目にしているのは、マイクロソフトがハフニウムについて発表して以来、ハフニウム以外にも攻撃者が拡大していることです。その方法は、マイクロソフトが報告したものとは異なる戦術や手法、および手順を使っているように見えます」。

マイクロソフトのエクスチェンジ・サーバーは、企業などが自社の電子メール・サービスの運用に使用している。ハッカーらはエクスチェンジ・サーバーの脆弱性を悪用することで、Webシェル、すなわちリモートからアクセス可能なハッキング・ツールを作成。感染したマシンへのバックドア・アクセスと制御が容易になり、侵入されたサーバーをインターネット上で制御し、そこを起点としてターゲットのネットワーク全体からデータを盗み出せるようになる。修正プログラムを発表してもWebシェルによる攻撃者のバックドア・アクセスは減っておらず、マイクロソフトによればエクスチェンジ・サーバーの顧客のうち、3月5日までに修正プログラムを適用したのはわずか10%に過ぎない。

マイクロソフトの修正プログラムの適用は最初のステップとして非常に重要だが、今後被害者になり得る多くの組織にとって、この問題の根絶ははるかに複雑な作業になりそうだ。とりわけ、ハッカーらがネットワーク内の他のシステムに自由に移動していれば厄介だ。

マイクロソフトの広報担当者は、「当社はサイバーセキュリティ・インフラストラクチャセキュリティ庁(Cybersecurity and Infrastructure Security Agency:CISA)や他の政府機関、およびセキュリティ企業と緊密に連携し、可能な限り最善のガイダンスと影響緩和策を顧客に提供しています」と述べる。「最良の防御策は、影響を受ける全てのシステムにできる限り早くアップデートを適用することです。当社は今後とも調査を継続し、影響緩和策のガイダンスの提供で、顧客を支援します。影響を受けた顧客は、当社のサポート・チームに連絡すれば、さらなるサポートやリソースが得られます」。

CISAのクリス・クレブス元長官は、今や複数のグループがこの脆弱性を攻撃しているため、中小企業や学校、および地方自治体のように、防御力が乏しい組織ほど大きな影響を受けると予想されると 述べた

クレブス元長官は、「しかし、なぜこんなことをするのか」とツイッターでつぶやき、「これはバイデン政権の初期対応を試そうとする示威行為なのか、または手に負えないサイバー犯罪組織なのか、あるいは請負業者の暴走なのか」と問いかけている。

世界中で何十万人もの被害者が出る可能性がある今回のエクスチェンジ・サーバーをターゲットとしたハッキング行為は、米国政府が現在その掃討に苦慮している ソーラーウィンズ(SolarWinds)をターゲットとしたハッキング行為よりも多くのターゲットに影響を与えている。だが、ソーラーウィンズへのハッキング行為と同様、数字がすべてではない。同社への攻撃の背後にいたロシアのハッカーらは非常に統制が取れており、何千人もの被害者にアクセスできる可能性があったにもかかわらず、価値の高い特定のターゲットだけを狙っていた。

今回の事件でも同じことが言える。すなわち、数の多さが憂慮されても、すべての侵入ケースが壊滅的なものになるとは限らない。

ニッケルズは、「攻撃者が皆同じように行動するとは限りません」と述べる。「扉が開いたような状態になっている脆弱なエクスチェンジ・サーバーもありますが、攻撃者がそこを通って侵入したかはわかりません。サーバーに侵入し、Webシェルが置かれた可能性もありますが、それ以上は何もしない場合もあれば、攻撃者がさらなる行動に出て、他のシステムに移動した例もあります」。

ホワイトハウスがサイバーセキュリティの問題についてコメントすることはめったにない。しかし、バイデン政権の就任前後の2カ月間に、ソーラーウィンズへのハッキング行為、そして今回の事件が起こったため、ハッキング行為について多くの声明を発表することとなった。

ホワイトハウスのジェン・サキ報道官は3月5日の記者会見で、「多数の被害者が出ていることに対してわれわれは懸念しており、パートナーと連携して全貌を把握すべく作業を進めています」と述べた。「ネットワークの所有者も、すでに侵入を受けていないかどうか調査し、直ちに適切な措置を取ってください」。