中国によるサイバー攻撃で政府が緊急指令を発令、すでに3万以上の組織がハッキングされているとの指摘も

中国の政府系ハッカーである「Hafnium」により、MicrosoftのグループウェアであるExchange Serverの脆弱性(ぜいじゃくせい)を悪用した攻撃が行われていた問題で、アメリカのサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)が2021年3月2日に、公的機関に対して速やかな対応を求める緊急指令を発令しました。この問題に対し、Microsoftは侵入されたことを検知するツールを公開していますが、ハッキングを完全に防ぐには至っておらず、専門家は「最低でも3万以上の組織が既にハッキングを受けている」と指摘しています。

CISA Issues Emergency Directive Requiring Federal Agencies to Patch Critical Vulnerability | CISA
https://www.cisa.gov/news/2021/03/02/cisa-issues-ed-requiring-federal-agencies-patch-critical-vulnerability

At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software — Krebs on Security
https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/

Microsoftは3月2日に、Exchange Serverが中国の政府系ハッカーによるゼロデイ攻撃を受けていることを発表しました。プロキシ(Proxy)とログオン(Logon)に関する脆弱性であることから「ProxyLogon」と呼ばれるこの問題の詳細については、以下の記事を読むとよく分かります。

Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告 - GIGAZINE

by Craig Nagy

この問題を受けて、CISAは3月2日に「緊急指令21-02」を発令。その中で、Microsoft Exchangeのオンプレミス製品を使っているすべての機関と連邦政府の民間部門に対し、Microsoftのパッチが適用されるまでシステムをネットワークから切り離すよう要請しました。

CISAが政府機関に適用を求めた「Microsoftのパッチ」とは、Microsoftが3月2日に緊急でリリースしたExchange Server用のセキュリティ更新プログラムのことです。しかし、このプログラムは被害を緩和させたり検知したりするだけにとどまるもので、攻撃を完全に防げるものではありません。Microsoftセキュリティレスポンスセンター(MSRC)は、これまでの対策について「あくまで緩和策に過ぎず、Exchange Serverがすでに侵入されている状況の改善や攻撃からの完全な保護は見込めません」と公式ブログで述べています。

ホワイトハウスの報道官であるジェン・サキ氏は3月5日の記者会見で、「Exchange Serverの脆弱性は重大で、広範にわたり影響を及ぼす危険性があります」と発表しました。

また、セキュリティ情報サイトKrebsOnSecurityは、被害の具体的な範囲について「アメリカだけで少なくとも3万の組織がハッキングされている」と報じました。匿名を条件にKrebsOnSecurityの取材に応えた2人のサイバーセキュリティの専門家によると、「中国のハッキンググループは、Microsoft Exchange Serverを運用しているサーバーをすでに数十万台は掌握している」という情報もあるとのことです。基本的に、1つの組織は1台のサーバーでExchange Serverを運用しているため、被害を受けた組織や団体も数十万に及んでいる可能性があります。

CISAの元ディレクターであるChris Krebs氏はTwitterで「私が聞いたところによると、KrebsOnSecurityが報じた数字は極端に控えめです」とツイートして、被害を受けた組織の数はKrebsOnSecurityが報じたものをはるかに上回るとの見方を支持しました。

Microsoftは3月6日に、ProxyLogonによる侵入を検知するツールをリリースしており、CISAはこのツールの使用を強く推奨しています。