Microsoft(マイクロソフト)からの警告によると、ハッカーがメールサーバーExchangeに最近見つかった脆弱性を悪用してランサムウェアを投下。それにより数万台のメールサーバーに破壊攻撃のリスクが生じている。
米国時間3月11日午後のツイートでこのテクノロジー大手は、DoejoCrypt(あるいはDearCry)と呼ばれる新種のファイル暗号化マルウェアを検出したと発表した。それは以前Microsoftが、Hafniumと呼ばれる中国が支援する新たなハッキンググループと結びつけた同じ4つの脆弱性を利用している。
関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告
それら4つをつなぐとハッカーは、脆弱なシステムを完全にコントロールできるようになる。MicrosoftによるとHafniumは、これらの欠陥を悪用している「主犯的な」集団で、スパイ行為や諜報収集のために犯行を重ねているとみられる。しかし複数のセキュリティ企業によると、その他のハッキンググループも同じ欠陥を攻撃していることを彼らは確認している。ESETによると、少なくとも10のグループがExchangeサーバーを活発に侵犯している。
ランサムウェアによる暗号化を解くツールを開発しているランサムウェアのエキスパートであるMichael Gillespie(マイケル・ギレスピー)氏によると、多くの脆弱なExchangeサーバーが米国とカナダとオーストラリアにあり、DearCryに感染している。
関連記事:流行中のランサムウェア「Stop」による暗号化を復号する新ツール群
#Exchange Servers Possibly Hit With #Ransomware
ID Ransomware is getting sudden swarm of submissions with ".CRYPT" and filemarker "DEARCRY!" coming from IPs of Exchange servers from US, CA, AU on quick look. pic.twitter.com/wPCu2v6kVl— Michael Gillespie (@demonslay335) March 11, 2021
Exchangeサーバーがランサムウェアにやられた可能性がある。ランサムウェアは「.CRYPT」とファイルメーカー「DEARCRY!」の名で大量に出回り、ざっと見ると米国とカナダ、オーストラリアのExchangeサーバーのIPからが多い。
この新しいランサムウェアは、セキュリティ研究者がMicrosoftがオーナーであるGitHubに、脆弱性を悪用するコードのPoC(概念実証)を発表してから1日足らずで登場している。そのコードは、同社のポリシーに違反しているとして、すぐに削除された。
Kryptos Logicのセキュリティ研究家Marcus Hutchins(マーカス・ハッチンズ)氏はツイートで、そのPoCノードは動いたが、若干の手直しが必要だったと述べている。
セキュリティの危機を検知する企業(脅威インテリジェンス企業)であるRiskIQによると、3月11日に脆弱なサーバーを8万2000台検出したが、その数は現在、減っている。同社によると、銀行やヘルスケア企業の数百台のサーバーが今なお侵されており、米国政府の約150台もやられている。Microsoftが3月2日にこの脆弱性を公表した際、脆弱なサーバーは40万台近く存在していたため、急速な減少ということができる。
Microsoftは先にセキュリティフィックスを発行したが、そのパッチでは、すでに侵されているサーバーからハッカーを駆逐することはできない。米国政府のサイバーセキュリティ顧問に相当するFBIとCISAは、この脆弱性が全米の企業に重大なリスクをもたらすと警告している。
FireEyeの脅威インテリジェンス部門Mandiantの分析担当副社長であるJohn Hultquist(ジョン・ハルトキスト)氏は、今後はもっと多くのランサムウェア集団がはびこると予想している。
「パッチが適用されていない組織の多くは、サイバースパイ行為者によって悪用された可能性がある。ランサムウェアの犯罪的な操作は、組織を混乱させ、さらには盗まれた電子メールを公開することで被害者をゆすることもあり、より大きなリスクをもたらす可能性がある」とハルトキスト氏は語る。
カテゴリー:セキュリティ
タグ:Microsoft、ランサムウェア、ハッキング
画像クレジット:Bryce Durbin/TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:Hiroshi Iwatani)
