Exchange Serverの未知の脆弱性を突いた組織へのサイバー攻撃の被害が急拡大している。Microsoftが「Hafnium」と呼ぶ攻撃アクターは、中国を拠点に米国に設置されたVPSから情報盗用が可能な大規模攻撃を展開。その被害がすでに6万組織を超えているという分析もあり、サイバーセキュリティ危機に発展する可能性が危ぶまれている。
攻撃に悪用されているのは、オンプレミスのExchange Serverで新たに見つかった脆弱性。1月にDEVCOREが発見し、Microsoftに報告していた。現時点で主にHafniumがその脆弱性を悪用しており、その攻撃手法は、(1)盗んだパスワード、またはアクセス権限のある者になりすますことができる未知の脆弱性を利用してExchange Serverにアクセスし、(2)侵入したサーバーをリモートコントロールするためのWebシェルを作成する。そして(3)リモートアクセスを用いて組織のネットワークからデータを盗み出す。
Hafniumについては、Microsoftが3月2日に公式ブログに「New nation-state cyberattacks(新たな国家支援型サイバー攻撃について)」を公開し、顧客に迅速な対応と警戒を呼びかけていた。同日に、Microsoft Exchange Server 2013、Microsoft Exchange Server 2016、Microsoft Exchange Server 2019を対象に、問題の脆弱性を修正するセキュリティアップデートをリリース。3月4日、悪意のあるアクティビティを確認するためのスクリプトHafnium IoC(Indicator of Compromise)をリリースした。
Microsoftによると、Hafniumの標的は感染病研究、法律事務所、高等教育機関、防衛関連企業、政策シンクタンク、NGOなど広範囲に及ぶ。さらにEuropean Banking Authorityへの攻撃も明らかになるなど、被害は米国にとどまっていない。3月5日にKrebsOnSecurityが公開したレポートによると、少なくとも3万の米国の組織が被害を受けている。Bloombergのレポートによると、世界規模で被害は6万組織を超える。
さらに深刻な懸念となっているのが、すでに仕掛けられたバックドアへの攻撃だ。米ホワイトハウスのNational Security Councilは7日、「サーバーが侵害されてしまった場合、パッチやミティゲーションでは修復できません。脆弱性が残るサーバを持つ組織は、すでに標的になっているかどうかを確認する早急な対策が不可欠です」とツイートした。
