米国政府は、その最も重要な連邦ネットワークをハッキングしたロシアへの報復を準備していると報じられているが、米国はサイバー空間でもう1つの古い敵にも直面している。中国だ。
関連記事:FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
Microsoft(マイクロソフト)は3月初旬に、「Hafnium(ハフニウム)」と呼ぶ新たなハッキンググループの存在を明らかにしたが、このグループは中国で活動し、中国が支援している。Hafniumは、これまで報告されていなかった4つのゼロデイ脆弱性を利用して、Microsoft Exchange Server(マイクロソフト・エクスチェンジ・サーバー)をeメールサーバーとして運用している少なくとも数万の組織に侵入し、メールボックスやアドレス帳を盗み出した。
関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告
Hafniumの目的は明らかになっていない。この活動を、国家が大企業や政府から情報や産業上の秘密を収集するスパイ活動になぞらえる人もいる。
しかし、今回の組織的ハッキング活動が大きな被害をもたらしているのは、欠陥が容易に悪用できるからというだけでなく、被害者が非常に多く、広範囲に及ぶからだ。
セキュリティ専門家によると、今回のハッカーはインターネット上で脆弱なサーバーをスキャンして攻撃を自動化しており、法律事務所や政策シンクタンクだけでなく、防衛関連企業や感染症の研究者など、幅広いターゲットや業界を狙っているという。脆弱なExchange Serverのメールーサーバーを運用していたため、Hafniumの攻撃に巻き込まれた膨大な数の被害者には、学校、宗教団体、地方自治体なども含まれる。
マイクロソフトはパッチを公開しているが、米国連邦政府のサイバーセキュリティ諮問機関であるCISAは、パッチは脆弱性を修正するだけで、ハッカーが残したバックドアを閉じることはできないと述べている。
CISAは、Microsoft Exchange Serverの脆弱性が国内外で広く利用されていることを認識しており、侵害の有無を判断するために、MicrosoftのIOC検出ツールでExchange Serverのログをスキャンすることを推奨しています。
リソースに余裕のある大規模な組織であれば、システムが侵害されたかどうかを調査し、破壊的なマルウェアやランサムウェアなどのさらなる感染を防ぐため、手を打つことができるだろう。
しかし、地方の小規模な被害者は、自分たちのネットワークが侵害されたかどうかの調査に、すぐに手が回らないことが多い。
Hafniumの発見に貢献したサイバーセキュリティ企業のVolexity(ヴォレクシティ)でセキュリティアナリストを務めるMatthew Meltzer(マシュー・メルツァー)氏は、「我々が見てきたところによると、被害者のタイプは非常に多様で、その多くは、サイバー脅威対応の専門業者ではなく、ITシステムの展開と管理を専門とする地元のITプロバイダーに技術サポートを委託しています」と述べている。
サイバーセキュリティの予算がない場合、被害者は常に侵害されていると考えられる。だが、次に何をすべきかを把握しているとは限らない。パッチを当てて不具合を修正することは、復旧作業の一部に過ぎない。ハッカーの後始末は、サイバーセキュリティの専門知識を持たない中小企業にとって、最も困難な作業となるだろう。
それはまた、他の悪質なハッカーに発見され、同じ脆弱性を利用してランサムウェアを拡散したり、破壊的な攻撃を仕かけたりされるのを防ぐための時間との戦いでもある。Red Canary(レッド・カナリー)とHuntress(ハントレス)の両社は、Hafnium以外のハッキンググループも同じ脆弱性を利用していることが考えられると述べている。ESET(イーセット)によると、少なくとも10のグループが同じサーバーの欠陥を悪用しているとのことだ。
脅威検出を専門とするRed Canaryのインテリジェンス担当ディレクターであるKatie Nickels(ケイティ・ニッケルス)氏は、これらのExchange Serverの脆弱性を悪用した活動が「明らかに広く行われている」としながらも、悪用されるサーバーの数はそれよりずっと少ないと述べている。
「一般的なIT管理者にとっては、最初に使われるWebシェルのクリーンアップをする方が、その後の活動を調査するよりもはるかに簡単でしょう」と、ニッケルス氏は語る。
マイクロソフトは管理者ができることについてのガイダンスを公開しており、CISAはアドバイスと、サーバーのログを検索して不正アクセスの証拠を見つけるためのツールを提供している。また、ホワイトハウスの国家安全保障会議は異例の声明を出し、パッチを当てるだけでは「修復にならない」と警告、企業に対して「直ちに対策を講じる」よう求めている。
サーバーがすでに侵害されている場合、パッチや緩和策は修復策にはなりません。脆弱性のあるサーバを持つ組織は、すでに標的にされていないかどうかを確認するために、早急に対策を講じることが不可欠です。
このようなアドバイスが中小企業にまでどれくらい浸透していくか、注視する必要があるだろう。
中小企業を含む多くの被害者は、自分たちが被害を受けていることに気づいていない可能性があり、たとえ被害を受けていることに気づいたとしても、次に何をすべきかについて段階的な説明が必要になると、サイバーセキュリティの専門家であるRuna Sandvik(ルナ・サンドビック)氏は語る。
「このような脅威から身を守ることも重要ですが、侵害の可能性を調査し、その行為者を排除することは、より大きな課題です」と、サンドビック氏は述べている。「企業にはパッチをインストールできる人はいるでしょう。しかし、それは最初のステップに過ぎません。侵入されたかどうかを調べるには、時間、ツール、ログが必要です」。
セキュリティ専門家によると、Hafniumは主に米国の企業をターゲットにしているが、攻撃はグローバルに行われているという。欧州銀行監督局は、自局のメールサーバーとして使用していたExchange Serverが攻撃を受けたことを確認した最大の組織の1つだ。
ノルウェーの国家安全保障局は、国内で「これらの脆弱性を悪用されたことがすでに確認されている」として、ノルウェーのインターネット空間全体で脆弱なサーバーをスキャンし、その所有者に通知すると発表した。SI-CERTとして知られているスロベニアのサイバーセキュリティ対応部隊は、こちらも自国のインターネット空間で潜在的な被害者に通知したと、Twitter(ツイッター)で述べている。
米国企業の広範囲に及んでいることを考慮すると、米国政府と民間企業は対応を連携するためにもっとできることがあると、サンドビック氏は述べている。CISAは2019年に、脆弱でパッチが適用されていないシステムの所有者を特定するために、インターネットプロバイダーを召喚できる新たな権限を提案した。同庁は12月に政府の年次防衛法案の中でこれらの新しい権限を得たばかりだ。
「誰かがそれを持つ必要があります」と、サンドビック氏は言っている。
関連記事:米国土安全保障省が脆弱システムの利用者開示をISPに義務づけへ、法改正を準備中
画像クレジット:BSIP / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)