「対応はお済みでしょうか?Exchangeサーバの脆弱性対策」
3月序盤に世界中を騒がせたビッグウェーブ、Exchangeサーバの脆弱性に関する情報をまとめました。対応はお済みでしょうか?まだの方も、とっくに実施済みの方にも、全然関係ない方にも知っておいてほしい危険なやつですので、ぜひ一読下さい。
何が話題となっているか
本件の盛り上がり、それは下記の2点が理由です。
- 影響範囲の広さ
- 攻撃を受けた際の危険度の高さ
影響範囲の広さ
Microsoft Exchange Serverはメールサーバとして使うソフトウェアで、世界中で広く利用されています。
日本でも多数使用されています。弊社でも当然のように利用しております。高い普及率に併せ、今回見つかった脆弱性の影響を受けるバージョンが幅広く、現在サポートされている全てのバージョンが対象になります。
具体的には2013, 2016, 2019となっており、現役で利用している場合は当然サポートされているバージョンを使うと思いますので、本当に世界中のセキュリティ担当者が対応を迫られたということになります。*1 読んでいただいている方の中にもご対応された方が多かったのではと想像します。
攻撃を受けた際の危険度の高さと被害の状況
攻撃が成功したときに何をされてしまうのかについてです。
端的に言いますと、Exchangeサーバにバックドアを仕込まれてしまい、永続的にサーバへのリモートアクセスを許すことになります。データを盗むツールを追加で持ち込むことも可能ですし、盗んだデータを自分のサーバにアップロードすることも可能になってしまいます。Exchangeサーバを起点に、更なる攻撃が展開されることでしょう。
世界では、少なくとも米国だけで3万程度の組織が影響を受けたと報道されています。*2 実際にメールデータが盗まれる被害もあったようです。日本での被害は3月23日現在、まだ報告されておりません。
- どんな脆弱性なのか
ここは少しだけ小難しい内容を含みますので、読み飛ばして頂いても構いません。今回更新があった脆弱性の修正は7つですが、実際にはそのうち4つの脆弱性を組み合わせて使用することで侵害を成功させるようです。*3 攻撃者はまず、外部から接続できるExchangeサーバをスキャンによって特定します。その後、"CVE-2021-26855"を利用し、「特定のHTTPリクエストを送信」することで自分自身をExchangeサーバとして認証させることができます(この脆弱性が最もクリティカルです)。更に3つの脆弱性を利用し、バックドアを配置します。これにより、完全にコントロールを掌握し、何でもできてしまう状態になります。通常、脆弱性を突く攻撃を実施するのは非常に高度な技術が必要で、針の穴を通すような操作をすることで運がよければ成功するといったイメージなのですが、本脆弱性はロジックバグに起因するものであり、比較的に成功率が高いことも脅威度を増幅させる要因となっています。なお、脆弱性は台湾のセキュリティエンジニアが昨年末に発見したもので、今年初め頃にTwitterにて「見つけた!」と嬉しそうに報告しています。
- 実施するべき対応
本題です。むしろここだけ読んでいただければ問題ありません。ExchangeサーバのWindowsアップデートを最新にして下さい。以上です。「...おいおい待ってくれそんな簡単に言うなサーバのパッチ更新なんて怖くて簡単にはできねぇ別の不具合が出たらどうすんだよ如何ほど大変だと思ってんだ」というIT管理者のクレームが聞こえてくるので、そういった一般的な事情を抱えた方に向けた対応もご紹介します。
パッチを当てる
使用しているExchangeサーバのCU(Cumulative Update)を確認し、対応するパッチを当てるというものです。手順は下記の記事にまとめられています。*4 CUの確認方法は下記をご参考にして下さい。*5
攻撃を受けたかどうか確認し、緩和策を実施する
これは本脆弱性を悪用されて侵害を受けたかどうかを確認する作業です。ログをスキャンすることで確認を実施できるツールや、パッチを当てられない場合の緩和策を実施するツールをMicrosoftが公開しています。 分析の手順は下記の記事で紹介されています。ただし、ここまでくるとセキュリティに関する専門的な知識が必要となってきますので、外部の業者に委託するのが賢明かもしれません。*6
最新の保護ソリューションを導入しておく
これまでは後処理の対応でしたが、予防という観点で一つ宣伝させて下さい。Windowsサーバに導入することができるエンドポイントセキュリティ製品としてMorphisecというものがございます。
Morphisecは特許取得済の「Moving Target Defense(MTD)」という技術を使用した新しい防御手法で前述の脆弱性を突く一連の攻撃における各フェーズにて侵害リスクを緩和します。
他の製品ではシグネチャの更新や検知エンジンの更新後、防御可能となるのが一般的ですが、MorphisecはMTDの性質上、ゼロデイの攻撃に対しても効果発揮いたします。
弊社にてご紹介することができますので、ご興味ありましたらお問い合わせ頂ければ幸いです。
セキュリティニュース(国内編)「LINEでの行政サービス停止 総務省」
3月は特段目を引く大規模情報漏洩などは無かった印象です。一方でLINEの件など、一般の方にも大きく関係してくる話題もありましたので記事にしました。
サイバーセキュリティとの直接的なつながりは少ないですが、知っておいて損はない内容かと思います。(他記事1本)
LINEでの行政サービス停止 総務省
大半の日本人が1日に1回は起動しているアプリ、LINEをめぐり盛り上がっています。前々から「LINEは情報漏れそう」という風潮がありましたが、具体的なツッコミが入ったというのが直近の話題です。
今回問題とされているのは、LINE上で管理される個人情報の取り扱いに関して、規約上十分な説明がなされていないという点です。
個人情報とは、利用者の名前や電話番号、ID、画像、動画などを指しています。あまりバレたくないものが含まれていますね。
これらの情報が含まれるデータベースに対し、LINEの韓国拠点の子会社の、さらにその子会社である中国拠点の現地スタッフ4名がアクセス可能な状態であり、それが規約に明記されていなかったというのがニュースの内容です。少なくとも32回はアクセスがされたと報じられています。*7
また、これを受けて各方面がLINE利用の中止を宣言しています。政府は行政サービスのインフラとしてLINEを活用していました。
厚生労働省のコロナ対策アンケートはLINEで実施されましたし(これの偽物が出回ったなんてニュースもありましたね)、国税庁は確定申告会場への入場の整理券をLINEで管理していました。日本のLINE依存はすごいですね。そんな中、本件を踏まえて総務省がLINE使用を中止、実態の調査を開始するとのことです。*8
LINEはシェアが大きく便利なコミュニケーションツールですが、重要な個人情報のやり取りやビジネス用途で使用するのは控えた方が良さそうです。隠したい会話にはビジネス専用のメッセージツールやセキュリティの高いSNSであるSignal、Telegramなどを使いましょう。
攻撃者だって"コスパ"は大事 サイバーディフェンス研究所の技術トップが攻撃者視点で解説
攻撃者がターゲットを選定する際に"コスパ"を重視するという面白い観点が記事にまとめられていましたのでご紹介します。*9
ここで言う"コスパ"とは、攻撃者目線のコスパです。攻撃にかかるコストと、攻撃によって得られるメリットを天秤にかけ、より利益を得られるターゲットに攻撃をしかけるのは当然の心理ですよね。
かつて攻撃者は「あのサーバをハックできたら面白くね??」「俺、こんなことできんだぜ!!」という愉快犯、もしくは自己顕示欲の誇示を目的にサイバー攻撃を実施していました。今では完全に金銭目的にシフトしています。攻撃のためのエコシステムができており、システマティックに攻撃を展開することが当たり前の時代になっております。*10
企業のネットワークに侵入して企業内ネットワークへのアクセス手段をほかのグループに販売する係、フィッシング攻撃用のキットを提供する係、ランサムウェアをサービスとして提供する係など細かく分類されています。エコシステムから提供される武器を最も安価で仕入れ、入手した情報を最も高く売る(もしくは自分で使う)ことに重きを置いているのが最近の攻撃者です。
ということで自社のITシステムを「コスパの悪い環境」にすれば攻撃者のターゲットリストから離脱することができますよ、とのこと。
では、「コスパの悪い環境」とはどのような環境でしょう。下記の4点が挙げられています。
- 通信制御が厳しい
- 認証が固い
- 既知の脆弱性対策済み
- 設定ミスや初期設定がない
お気づきでしょうか。
基本的なセキュリティ対策でカバーできるものばかりですね。最近ではこれら初歩的な対策のことを「サイバーハイジーン(サイバー衛生)を徹底する」なんて言ったりします。高価な検知ツールを導入するより先にまず、足元から固めた方が"コスパ"がいいですよという記事でした。
セキュリティニュース(海外編)「Nimプログラミング言語で作成された新しいマルウェアを発見!その実体とは?」
マルウェアは日々変化と進化をしていますが、今月に入って今までに確認されていなかった言語で作成されたマルウェアが配布されていることが確認しました。
珍しいもの見たさで内容をまとめましたので、是非ご覧ください。(他記事1本)
Nimプログラミング言語で作成された新しいマルウェアを発見!その実体とは?
2021年3月10日に、Proofpointの研究者によって、プログラミング言語「Nim」※によって作成されたマルウェアが発見されました。*11 *12
Nimを使用した理由は、マルウェア解析を回避するためだと考察されています。
Nimを使用したマルウェアがレアであることから、リバースエンジニアリングするアナリストが知らない言語のために苦戦する、サンプルが少ないためサンドボックスやその他解析ツールによる分析を遅らせる、などの効果を期待したのでしょう。
さて、このNimを利用したマルウェアは、Nimにちなんで「NimzaLoader」と名付けられています。
何かの名前に似ていると思いませんか?
そう、「BazaLoader」です。
日本ではあまりメジャーではないかもしれませんが、海外ではこのマルウェアによる大きな被害が報告されており、最近ですとUHS(米国の大手病院)を襲ったRyukランサムウェアのローダとして暗躍していました。
NimzaLoaderを調査した結果、BazaLoaderと似たような活動を行っていることから、BazaLoaderの亜種だろうということでNim + BazaLoader = NimzaLoaderとなっております。
研究者の調査結果によると、Nimで記述されていること以外にはそこまで目新しらさはなく、BazaLoaderの動きと比べ、大きな違いはありません。
現時点は大きな脅威はありませんが、NimzaLoaderはまだ開発されたばかりであることから、今後のさらなる開発により機能や振る舞いに変化が表れてくるかもしれません。
そのため、NimzaLoaderがどれほど成長し、他の攻撃者にも採用されるか、今後の気になるところとなります。
※Nimとは? *13
Nimとは2008年ごろから登場したプログラミング言語で、pythonのように簡単にコーディングでき、Cのようなメモリ効率が得られる特徴を持っています。
2019年にver1.0がリリース(2021/3/18ではバージョン1.4.4)され、徐々に注目されている。
不正アクセスでミスコン女王になった娘とその母親の逮捕から得る教訓
2021年3月15日に、フロリダで暮らす親子が不正アクセスなどの容疑で逮捕されました。*14 *15
アメリカではホームカミングデー(日本でいう文化祭や大学祭)においてミスコンを開催し、投票で選ばれた男女それぞれを「ホームカミング・キング」、「ホームカミング・クイーン」と称する文化があります。 このコンテストは、投票ページから学校の識別番号および生徒の生年月日を入力することで投票することができます。
つまり、識別番号と生年月日が分かれば、だれでも投票できるとうことです。
この性質を悪用し、ミスコンに参加した娘が不正に入手した情報を用いて不正投票を行い、ミスコンに輝いたというわけです。
さて、なぜ生徒の識別番号と生年月日を不正に入手できたのか。
その要因は、逮捕された娘の母親が小学校の副校長であったことにあります。
その立場上、高校も含めた地区の教育系ネットワークに対して広いアクセス権限を持っていたらしいです。この広いアクセス権限により、Focusシステム(生徒情報や受講管理を行うシステム)への不正ログインが可能となり、生徒情報を入手できたというわけです。
アクセス権限を持っているだけならまだよかったのですが、母親がこのアカウントの使用を娘に許可した結果、娘が不正アクセスできてしまい、他の生徒の生年月日から成績情報までを盗みまくったということです(友達にも自慢していたとか)。
ちなみに、なぜこの犯行がばれたのか?
理由は、投票ページの運営者が一つのIPアドレスから100件を超える投票されていることを発見できたからです。このIPアドレスを調査した結果、この親子にたどり着き、逮捕に至ったというわけです。つまり、素人の犯行ですね。
この事件からは以下の教訓を得ることができます。
- 特権をもったアカウントを他人に譲渡しない
- アカウントに対するアクセス制限を最小限とするべき
今回は一地区の小さな事件ではありましたが、これが企業ケースだと重要資産への不正アクセスや内部不正の誘発など、重大なインシデントになりかねません。そのため、基礎的ではありますが、このような教訓を守ることが非常に大事になります。
■ 関連リンク・引用
*01: Microsoft Exchange Server の脆弱性対策について(CVE-2021-26855等), IPA 独立行政法人 情報処理推進機構, 2021/03/23
*02: At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software, Krebs on Security, 2021/03/23
*03: 脅威の評価: Microsoft Exchange Serverにおける4つのゼロデイ脆弱性の悪用が活発化, Palo Alto Networks - Unit42, 2021/03/23
*04: 攻撃発生中のExchange Serverの脆弱性 ProxyLogonなどについてまとめてみた - piyolog, piyolog, 2021/03/23
*05: Exchange の累積的な更新プログラムとセキュリティ更新プログラムのインストールの失敗を修復します。 , 開発者向けツール、テクニカル ドキュメント、コード サンプル | Microsoft Docs, 2021/03/23
*06: HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security, 日本マイクロソフト, 2021/03/23
*07: 国内サーバーに32回アクセス LINEの情報保護不備で(時事通信), Yahoo!ニュース, 2021/03/23
*08: 総務省、LINE使用中止へ 自治体に調査依頼, 産経ニュース, 2021/03/23
*09: 攻撃者だって“コスパ”は大事 サイバーディフェンス研究所の技術トップが攻撃者視点で解説, IT総合情報ポータル「ITmedia」, 2021/03/23
*10: サイバー犯罪のエコシステムは今--CrowdStrikeの脅威レポートにみる, ZDNet Japan, 2021/03/23
*11: Researchers Spotted Malware Written in Nim Programming Language, The Hacker News - Cybersecurity News and Analysis, 2021/03/23
*12: NimzaLoader: TA800’s New Initial Access Malware, Proofpoint, 2021/03/23
*13: Nimとは?プログラミング言語を初心者にもわかりやすく解説, プログラミング入門 | 次に学ぶ言語・フレームワークの選択, 2021/03/23
*14: ハッキングして娘をミスコン女王に…ハイテクママ逮捕される, Yahoo!ニュース, 2021/03/23
*15: Florida mother and daughter arrested for accessing students’s private information to steal homecoming queen votes, The Washington Post, 2021/03/23
