Microsoftは4月13日(米国時間)、同社製品に対する2021年4月のセキュリティ更新プログラムをリリースした。今回のセキュリティ更新プログラムには、同3月に公開されて世界中を騒がせているExchange Server の深刻な脆弱性に関連する追加の修正が含まれている。今回修正された脆弱性は、3月に公開および修正された脆弱性とは異なる。

United States Computer Emergency Readiness Team (US-CERT)は、「Apply Microsoft April 2021 Security Update to Mitigate Newly Disclosed Microsoft Exchange Vulnerabilities|CISA」において、Exchange Serverの脆弱性の影響を軽減するために、2021年4月のセキュリティ更新プログラムを早急に適用するように強く呼びかけている。

Microsoft Exchange Serverの脆弱性には、悪用されると対象ホストへのアクセス権が不正に取得されて、マルウェアを仕込まれるなど後続の攻撃に利用される危険性がある。影響のある具体的な脆弱性としてはCVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065の4つが報告されている。

これらの脆弱性に対し、2021年3月に修正のためのセキュリティ更新プログラムがリリースされているが、オンプレミスのExchange Server 2016、2019、および2021に影響を与える追加の脆弱性が報告され、4月のセキュリティ更新プログラムで追加修正された形になる。したがって、追加の脆弱性に関しては2021年3月のセキュリティ更新プログラムでは修正されないため注意が必要だ。

2021年4月のセキュリティ更新プログラムに関する詳細は、Microsoftの下記サイトで確認することができる。

この追加の脆弱性およびセキュリティ更新プログラムに関して、Cybersecurity and Infrastructure Security Agency (CISA)ではセキュリティアラート「Alert (AA21-062A): Mitigate Microsoft Exchange Server Vulnerabilities」にガイダンスを追加した。

  • セキュリティアラートAA21-062Aの2021年4月13日追加部分

    セキュリティアラートAA21-062Aの2021年4月13日追加部分

それに加えて、関連機関向けに発行済みの緊急指令「ED21-02: Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」に関しても、補足指示のバージョン2を発行した。この補足指示では、Microsoft Updateを利用して、期限内に2021年4月のセキュリティ更新プログラムを適用することなどが含まれている。

  • 緊急指令ED21-02の補足指示バージョン2

    緊急指令ED21-02の補足指示バージョン2

CISAでは上記のほかに、Alert (AA21-062A)に対して2021年4月12日に下記2件のマルウェア分析レポートの追加も行っている。これらはExchange Serverの脆弱性を突いて侵入に成功した後に、追加の攻撃のために仕込まれた形跡のあるマルウェアの分析レポートになる。

上記のセキュリティアラートや緊急指令は主に米国の関連機関に向けたものになるが、Exchange Serverの脆弱性は日本国内の企業や組織にも深刻な影響を与えているため、同様の手順に則って対策を講じることが推奨される。