国土安全保障省は、現在進行中のMicrosoft Exchangeへの攻撃を緊急事態と宣言しました。今週初めに始まったこの攻撃は、マイクロソフトのExchangeサーバーを標的とし、いくつかのゼロデイ脆弱性をつなぎ合わせて、安全な電子メールアカウントにアクセスするものでした。

DHS：攻撃は "容認できないリスク "だった

国土安全保障省は3月3日深夜に緊急指令21-02を発表し、Microsoft Exchangeの攻撃に関する背景を説明した。

CISAパートナーは、Microsoft Exchangeオンプレミス製品の脆弱性が活発に利用されていることを確認しています。現在、Microsoft 365およびAzure Cloudに影響を与える脆弱性や悪用される可能性のある行為は確認されていません。これらの脆弱性を悪用されると、攻撃者はオンプレミスの Exchange サーバーにアクセスし、持続的なシステムアクセスや企業ネットワークの制御が可能になります。

この指令はさらに、この種の攻撃は "連邦民事執行部門機関に受け入れがたい危険をもたらし、緊急の行動を必要とする "と説明しています。

米国国土安全保障省は、連邦政府機関に対し、この指令で定められた分析および緩和プロトコルを遵守する期限を3月5日（金）午後12時（米国東部時間）と定めました。

現在、各組織はMicrosoft Exchangeサーバーを特定し、システムメモリ、ログ、レジストリ構成単位のフォレンジック分類を行い、その結果を分析して、クレデンシャル盗難やその他の危険の兆候があるかどうかを判断する必要があります。

関連：Microsoft Outlookに代わる最高の無料ソフトをご紹介します。

マイクロソフトのExchangeサーバーを攻撃しているのは誰か？

マイクロソフトは、この数字を、中国の国家的ハッキンググループ「Hafnium」の仕業と断定している。通常、企業は容疑者の名前を特定するのに時間がかかりますが、マイクロソフトは「高度な技術と経験を持つ行為者」がこの攻撃の背後にいることに疑いの余地はないと考えています。

マイクロソフト脅威インテリジェンスセンター（MSTIC）は、観測された被害状況、戦術、手順から、このキャンペーンは、中国を拠点に活動する国家ぐるみのグループであるHAFNIUMであると高い信頼性をもって評価しています。

その結果、Microsoft Exchangeへの攻撃は、これまで知られていなかった4つの脆弱性をつなぎ合わせたものとなっています。詳細は、Microsoft Securityの公式ブログでご覧いただけます。

また、マイクロソフトは、hafniumがマイクロソフトのoffice 365スイートと相互作用して脆弱性を検出するのを観察したと述べています。また、米国**の複数の組織や大手テクノロジー企業が被害を受けた大規模なサイバー攻撃「SolarWinds」とは無関係であることが確認されました。

関連記事：マイクロソフト、サンウィンド社のサイバー攻撃の実際の標的を公開

これらの攻撃はまだ続いており、Microsoft Exchange サーバーに大きな脅威を与えていますが、マイクロソフトのセキュリティチームはこれらの脆弱性を緩和するための一連のパッチを配布していることは朗報です。

Microsoft Exchange Server のパッチに関する詳細な情報（アップデートのダウンロードとインストール方法、Exchange Server のセキュリティ侵害の兆候をスキャンする方法など）は、Microsoft Technical Community の Web サイトでご覧いただけます。