Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告
by Craig Nagy
2021年3月2日、Microsoftが公式ブログで中国政府系ハッカーグループによるサイバー攻撃について報告しました。「Hafnium」と名付けられたこのハッカーグループは、Microsoftが提供する電子メール製品・Exchange Serverの脆弱性(ぜいじゃくせい)を利用し、幅広い組織から情報を盗もうとしているとのことです。
New nation-state cyberattacks - Microsoft On the Issues
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
Microsoft: Chinese Cyberspies Used 4 Exchange Server Flaws to Plunder Emails — Krebs on Security
https://krebsonsecurity.com/2021/03/microsoft-chinese-cyberspies-used-4-exchange-server-flaws-to-plunder-emails/
Microsoft issues emergency patches for 4 exploited 0-days in Exchange | Ars Technica
https://arstechnica.com/information-technology/2021/03/microsoft-issues-emergency-patches-for-4-exploited-0days-in-exchange/
Microsoft says Chinese hackers targeted groups via server software | ロイター
https://jp.reuters.com/article/us-usa-cyber-microsoft/microsoft-says-chinese-hackers-targeted-groups-via-server-software-idUSKCN2AU2MF
Microsoftの脅威インテリジェンスセンター(MSTIC)によると、Hafniumは中国政府の支援を受ける非常に洗練されたハッカーグループであり、主にアメリカの感染症研究所・法律事務所・高等教育機関・防衛請負事業者・政策シンクタンク・NGOなどを標的にサイバー攻撃を仕掛け、重要な情報を盗み出しているとのこと。Hafniumの拠点は中国にあるものの、攻撃は主にアメリカでホストされている仮想プライベートサーバーから行っているとみられています。
Hafniumの攻撃についてMicrosoftに通知したのは、アメリカのセキュリティ企業・Volexityだったと報じられています。Hafniumは「CVE-2021-26855」「CVE-2021-26857」「CVE-2021-26858」「CVE-2021-27065」という4つのゼロデイ脆弱性を使用して、Exchange Serverに攻撃を仕掛けていたそうです。
Microsoftの消費者セキュリティ担当ヴァイスプレジデントのトム・バート氏によると、Hafniumの攻撃手順は以下の通り。
・1:盗み出したパスワードないしはゼロデイ脆弱性を悪用して、ハッカーがExchange Serverへのアクセス権を持つ担当者になりすます。
・2:侵害したサーバーをリモート制御するためのバックドアを作成する。
・3:アメリカの仮想プライベートサーバーを介したリモートアクセスによって、標的のネットワークからデータを盗み出す。
Veloxityのスティーブン・アデール社長によると、一連の攻撃を最初に発見したのは2021年1月6日のことだったそうです。アデール氏は、Hafniumが使用する手法は開発には高い技術力を要したと考えられるものの、実際の使用時には技術的な手間はほとんど必要ないとみられており、攻撃者は簡単にExchange Serverの脆弱性を突いてデータを盗み出せるとのこと。
消費者セキュリティ担当VPのバート氏は、Hafniumが標的にしているのはアメリカの事業体であり、一般消費者がターゲットとされたり、脆弱性がExchange Server以外のMicrosoft製品に影響したりといったことは確認されていないとしています。また、2020年に発覚したSolarWinds製ソフトウェアの欠陥を利用したアメリカ政府へのサイバー攻撃とも、今回見つかったExchange Serverの脆弱性は関連していないとのことです。
SolarWinds製ソフトウェアの欠陥を利用したアメリカ政府への新たなハッキングの痕跡が見つかる - GIGAZINE
既にMicrosoftは、Exchange Serverを利用するユーザーを保護するためにセキュリティ更新プログラムをリリースしており、全てのユーザーに対して迅速に更新プログラムを適用するように呼びかけています。
なお、今回の攻撃とは使用された脆弱性の種類が違うものの、過去にも中国のハッカーがExchange Serverの脆弱性を利用してアメリカの組織を攻撃していたことが報告されています。
中国のハッカーがMicrosoft Exchange Serverなどの脆弱性を利用してアメリカ政府を攻撃していたことが判明 - GIGAZINE
・関連記事
「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明 - GIGAZINE
政府機関への大規模サイバー攻撃が核兵器関連の組織やMicrosoftにも迫っていたことが判明 - GIGAZINE
医薬品の規制当局がサイバー攻撃を受けてファイザーの新型コロナワクチンの情報がリークされる - GIGAZINE
中国政府とつながるハッカー集団が日本企業を標的に大規模なハッキング攻撃を仕掛けているとの報告 - GIGAZINE
CIAやNSAの元職員が語る中国との情報戦争の経緯とは? - GIGAZINE
中国のハッカーがMicrosoft Exchange Serverなどの脆弱性を利用してアメリカ政府を攻撃していたことが判明 - GIGAZINE
・関連コンテンツ
