毎日、1000件以上のアクセス、4000件以上の閲覧がある情報発信ブログ。花や有機農業・野菜作り、市民運動、行政訴訟など
てらまち・ねっと



 マイクロソフトのExchangeの新たに発見された4つのセキュリティ脆弱性を利用してハッカーが攻撃を仕掛け続けていた。
 しかも「攻撃者が数カ月にわたってネットワーク内部にアクセスしていた」(MITテクノロジー)という。

 アメリカで発見されたが、被害は世界中に広がるらしい。
 ・・・ということで、急いで情報を確認しておいた。私はExchangeを基本的には使っていないけれど、安心していいわけではないから。
 マイクロソフトは、「セキュリティ更新プログラムをリリースしており、全てのユーザーに対して迅速に更新プログラムを適用するように呼びかけている」というから、急いで更新しておくことに越したことはない。

 ともかく、次を記録しておく。

●中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告/techcrunch 2021年3月04日/新たに発見された4つのセキュリティ脆弱性を利用して、企業ネットワーク上で稼働しているExchangeの電子メールサーバに侵入し、被害者組織から電子メールアカウントやアドレス帳などのデータを盗み出し、さらにマルウェアをインストールしていた。4つの脆弱性を併用することで、Exchange 2013以降を使用するオンプレミスの脆弱なサーバーを侵害できる攻撃の連鎖が作られる。

●マイクロソフト、中国拠点の国家ハッカーがサーバーに侵入と警告 一部電子メールなど流出/ブルームバーグ 2021年3月3日
●過去最大級のハッキング被害、米政府機関復旧までに最長18カ月/MITテクノロジーレビュー 2021.03.05

●Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告/gigazine. 2021年03月03日
●米3万組織に攻撃、中国系ハッカーか Microsoft標的/日経 2021年3月6日
●ハッカー集団「ハフニウム」暗躍 中国政府が支援か/テレ朝 2021/03/07
・・・・・・・・・・・・・
 なお、昨日3月6日の私のブログへのアクセスは「閲覧数1,839 訪問者数916」。

人気ブログランキング参加中 = 今、2位あたり  ↓1日1回クリックを↓  ★携帯でも クリック可にしました →→ 携帯でまずここをクリックし、次に出てくる「リンク先に移動」をクリックして頂くだけで「10点」 ←←
 ★パソコンはこちらをクリック→→人気ブログランキング←←ワン・クリックで10点

●中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告
         techcrunch 2021年3月04日
Microsoft(マイクロソフト)は顧客に対し、中国政府の支援を受ける新たなハッカーが、同社の企業向け電子メール製品であるExchange Serverの、これまでに発見されていなかった4つのセキュリティ上の欠陥を悪用し攻撃していると警告した。

Microsoftは米国3月2日「Hafnium(ハフニウム)」と呼ばれるハッカーグループが、法律事務所や防衛請負業者だけでなく、感染症研究者や政策シンクタンクなど、米国を拠点とする幅広い組織を攻撃対象にして情報を盗み出そうとしているようだと述べた。

同社によると、Hafniumは、新たに発見された4つのセキュリティ脆弱性を利用して、企業ネットワーク上で稼働しているExchangeの電子メールサーバに侵入し、被害者組織から電子メールアカウントやアドレス帳などのデータを盗み出し、さらにマルウェアをインストールしていたとのこと。4つの脆弱性を併用することで、Exchange 2013以降を使用するオンプレミスの脆弱なサーバーを侵害できる攻撃の連鎖が作られるという。

Hafniumは中国を拠点に活動しているが、攻撃を仕かけるために米国内のサーバーを利用していると同社は述べている。Microsoftは、Hafniumがこれら4つの新しい脆弱性を最初に発見したハッカーグループであるとも述べた(同社のブログ記事の以前のバージョンでは、Hafniumがこの脆弱性を悪用する「唯一の」グループであると誤って記述されていた)。

Microsoftは攻撃が成功した数については明言を避けたが、その件数は「限られたもの」と説明した。

該当する4つのセキュリティ脆弱性を修正するためのパッチは現在すでに公開されており、通常は毎月第2火曜日に予定されている同社の典型的なパッチ適用スケジュールよりも1週間早い公表となった。

「Microsoftの顧客セキュリティ担当副社長であるTom Burt(トム・バート)氏は次のように述べた。「Hafniumの攻撃に対するアップデートを迅速に配備するよう尽力しましたが、多くの国家活動家や犯罪グループが、パッチが適用されていないシステムを利用しようとすばやく動くことが予想されます」。

同社は米政府機関にも調査結果をブリーフィングしたとしているが、今回のHafniumによる攻撃は、米連邦政府機関に対するSolarWinds関連のスパイ活動とは関係ないとしている。トランプ政権末期にNSA(米国家安全保障局)とFBIは、SolarWindsの件は「ロシア起源の可能性が高い」と述べていた。

●マイクロソフト、中国拠点の国家ハッカーがサーバーに侵入と警告 
エクスチェンジ・サーバーに不正アクセス、一部電子メールなど流出

    ブルームバーグ 2021年3月3日
ハッカーら「国家の支援を受け、中国から仕掛けている」
米マイクロソフトは顧客に対し、ソフトウエアの修正プログラムをダウンロードするよう呼び掛けている。中国に拠点を置き、国家の支援を受けるハッカーが、これまでに発見されていなかった複数のソフトウエア上の欠陥を利用し、一部顧客の電子メールや連絡先、予定などのコピーに侵入したという。

  ハッカーらは脆弱(ぜいじゃく)性を利用して「マイクロソフト・エクスチェンジ・サーバー」に侵入し、電子メールのアカウントに不正にアクセスした上で、長期的にハッキングを容易にするマルウエアをインストールしていた。マイクロソフトが2日説明した。

  マイクロソフトのブログ投稿によると、このハッカーらは「国家の支援を受け、中国から仕掛けていると判断される集団」で、「感染症の研究者や法律事務所、高等教育機関、防衛関連企業、政策シンクタンク、NGO(非政府組織)など米国にある多数の業種団体」を攻撃対象とすることが多いという。

  中国外務省の汪文斌報道官は北京で3日に開いた定例記者会見で、マイクロソフトのサーバーに対するハッキングは、完全な証拠に基づいて結論が導かれるべきだと述べた。

●過去最大級のハッキング被害、米政府機関復旧までに最長18カ月
      MITテクノロジーレビュー 2021.03.05
 数万社に導入されているネットワーク管理ツールにバックドアを仕込み、組織内に侵入するという大規模なハッキング被害から米政府機関が復旧するには、最長で1年半の期間がかかるという。
「ソーラーウィンズ(SolarWinds)」に対するハッキングから米政府機関が完全に復旧するには、1年から1年半の期間が必要だという。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)のブランドン・ウェールズ長官代行によると、ロシアのハッカーによって侵害を受けた政府ネットワークの完全復旧は2022年になるという。被害を受けたネットワークには、国土安全保障省や国務省をはじめ、少なくとも9つの連邦政府機関が含まれている。被害の全容を把握するだけでも、数カ月が必要と見られる。

「事件は、単純ではありません」とウェールズ長官代行は言う。「対応には2つの段階があります。ひとつは短期的な復旧措置で、ネットワークから攻撃者を排除し、攻撃者がコントロールしているアカウントを停止し、ネットワークへのアクセスに利用された侵入口を封鎖します。しかし、攻撃者が数カ月にわたってネットワーク内部にアクセスしていたことを考えると、戦略的な回復には長い時間がかかるでしょう」。

「攻撃者が数カ月にわたってネットワーク内部にアクセスしていたことを考えると、戦略的な回復には長い時間がかかるでしょう」
ブランドン・ウェールズ長官代行(CISA)

これほどまでに徹底的かつ長期間にわたるハッカーによる活動が成功している場合、ネットワークをゼロから完全に再構築する方が正解な場合もある。ハッカーは、標的となったネットワークの信頼性を損い、IDを盗み、被害者のマイクロソフト 365やアジュール(Azure)アカウントに自由にアクセスするために、一見正当なユーザーになりすましたり、ユーザーを作成したりする権限を得ようとしていた。トラスト(互いに信頼できる状態)とアイデンティティのコントロールを奪われたことで、ハッカーの追跡は極めて困難になった。

「そうしたレベルから再建しなければならない大半の機関は、適切な防護を確立するために12~18カ月近くかかるでしょう」(ウェールズ長官代行)。・・・(以下、略)・・・

●Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告
    gigazine. 2021年03月03日
2021年3月2日、Microsoftが公式ブログで中国政府系ハッカーグループによるサイバー攻撃について報告しました。「Hafnium」と名付けられたこのハッカーグループは、Microsoftが提供する電子メール製品・Exchange Serverの脆弱性(ぜいじゃくせい)を利用し、幅広い組織から情報を盗もうとしているとのことです。

Microsoftの脅威インテリジェンスセンター(MSTIC)によると、Hafniumは中国政府の支援を受ける非常に洗練されたハッカーグループであり、主にアメリカの感染症研究所・法律事務所・高等教育機関・防衛請負事業者・政策シンクタンク・NGOなどを標的にサイバー攻撃を仕掛け、重要な情報を盗み出しているとのこと。Hafniumの拠点は中国にあるものの、攻撃は主にアメリカでホストされている仮想プライベートサーバーから行っているとみられています。

Hafniumの攻撃についてMicrosoftに通知したのは、アメリカのセキュリティ企業・Volexityだったと報じられています。Hafniumは「CVE-2021-26855」「CVE-2021-26857」「CVE-2021-26858」「CVE-2021-27065」という4つのゼロデイ脆弱性を使用して、Exchange Serverに攻撃を仕掛けていたそうです。

Microsoftの消費者セキュリティ担当ヴァイスプレジデントのトム・バート氏によると、Hafniumの攻撃手順は以下の通り。
・1:盗み出したパスワードないしはゼロデイ脆弱性を悪用して、ハッカーがExchange Serverへのアクセス権を持つ担当者になりすます。
・2:侵害したサーバーをリモート制御するためのバックドアを作成する。
・3:アメリカの仮想プライベートサーバーを介したリモートアクセスによって、標的のネットワークからデータを盗み出す。


Veloxityのスティーブン・アデール社長によると、一連の攻撃を最初に発見したのは2021年1月6日のことだったそうです。アデール氏は、Hafniumが使用する手法は開発には高い技術力を要したと考えられるものの、実際の使用時には技術的な手間はほとんど必要ないとみられており、攻撃者は簡単にExchange Serverの脆弱性を突いてデータを盗み出せるとのこと。

消費者セキュリティ担当VPのバート氏は、Hafniumが標的にしているのはアメリカの事業体であり、一般消費者がターゲットとされたり、脆弱性がExchange Server以外のMicrosoft製品に影響したりといったことは確認されていないとしています。また、2020年に発覚したSolarWinds製ソフトウェアの欠陥を利用したアメリカ政府へのサイバー攻撃とも、今回見つかったExchange Serverの脆弱性は関連していないとのことです。

既にMicrosoftは、Exchange Serverを利用するユーザーを保護するためにセキュリティ更新プログラムをリリースしており、全てのユーザーに対して迅速に更新プログラムを適用するように呼びかけています。

なお、今回の攻撃とは使用された脆弱性の種類が違うものの、過去にも中国のハッカーがExchange Serverの脆弱性を利用してアメリカの組織を攻撃していたことが報告されています。

●米3万組織に攻撃、中国系ハッカーか Microsoft標的
    日経 2021年3月6日
【シリコンバレー=佐藤浩実】米国でマイクロソフトのメールシステムの脆弱性(セキュリティー上の欠陥)を突いたサイバー攻撃が広がっている。マイクロソフトによると中国系ハッカーが関与したとみられ、米政府も警鐘を鳴らす。被害は米国の産業供給網(サプライチェーン)の基盤である中小企業など3万の組織に及ぶとの推計もある。

「広範囲に影響を及ぼす可能性がある重大な脆弱性だ」。サキ大統領報道官は5日の記者会見で指摘した。「多数の犠牲者が出ていることを懸念している」と話し、システムの利用企業や団体に対し、ソフト更新などの対処を急ぐよう呼びかけた。

標的となったのは、企業がメールや予定共有に利用するマイクロソフトのサーバー向けソフト「エクスチェンジ・サーバー」。中小企業や地方自治体、学校などで広く使われている。ハッカーは同ソフトの脆弱性を突いて「Webシェル」と呼ぶマルウエア(悪意のあるソフト)を作成。ソフトを遠隔操作し、組織のデータを盗み出すという。

マイクロソフトは攻撃者について、中国政府が支援するハッカー集団「ハフニウム」だと分析する。同社によれば、ハフニウムは情報を盗み出すのを目的とするハッカーで、米国内の企業や団体を攻撃対象にしてきた。

攻撃は米セキュリティー企業の研究者が1月に発見し、マイクロソフトに伝えていた。同社は2日に脆弱性の修正プログラムを配布、被害を抑えるためソフトを速やかに更新するよう利用者に促していた。だがその後の数日間で、ハッカーが戦術を変更。修正プログラムを適用していないシステムに対し、幅広い攻撃を実施したようだ。

セキュリティー研究者のブライアン・クレブス氏は自身のサイトで「米国で少なくとも3万の組織がハッキングされた」と指摘した。米紙ウォール・ストリート・ジャーナルなど複数の米メディアも「数万件規模の攻撃」と伝えている。米国外にも被害が広がっている可能性があるが、現時点で詳細は不明だ。

米国ではかねて、ロシアや中国、イランなどの国家と関係が深いとみられるハッカーからの攻撃が問題になっている。2020年12月には米テキサス州に本社があるソーラーウインズのネットワーク管理ソフトの脆弱性が発端となり、多くの政府機関が攻撃の脅威にさらされた。マイクロソフトは今回の攻撃は「ソーラーウインズへの攻撃とは無関係」としている。

●ハッカー集団「ハフニウム」暗躍 中国政府が支援か
     テレ朝 2021/03/07
 中国政府の関与が疑われるハッカー集団が、アメリカのマイクロソフトの電子メールサーバーから世界中の組織の情報を盗み出している可能性があることが分かりました。

 マイクロソフトによりますと、中国政府の支援を受ける「ハフ二ウム」と呼ばれるハッカー集団はセキュリティーの欠陥を悪用し、企業向け電子メールソフト「エクスチェンジ・サーバー」に侵入しました。

 主にアメリカの企業や研究機関などを対象に情報を盗み出していて、マイクロソフトは新たなセキュリティープログラムを配布し、システムを更新するよう呼び掛けています。

 具体的な被害状況は明らかにされていませんが、ロイター通信によりますと、アメリカでは2万を超える組織が侵入されたということです。

 また、アメリカのウォール・ストリート・ジャーナルは世界で25万以上の組織が影響を受ける可能性があるとしています。

コメント ( 0 ) | Trackback ( )