Microsoft(マイクロソフト)は顧客に対し、中国政府の支援を受ける新たなハッカーが、同社の企業向け電子メール製品であるExchange Serverの、これまでに発見されていなかった4つのセキュリティ上の欠陥を悪用し攻撃していると警告した。
Microsoftは米国3月2日「Hafnium(ハフニウム)」と呼ばれるハッカーグループが、法律事務所や防衛請負業者だけでなく、感染症研究者や政策シンクタンクなど、米国を拠点とする幅広い組織を攻撃対象にして情報を盗み出そうとしているようだと述べた。
同社によると、Hafniumは、新たに発見された4つのセキュリティ脆弱性を利用して、企業ネットワーク上で稼働しているExchangeの電子メールサーバに侵入し、被害者組織から電子メールアカウントやアドレス帳などのデータを盗み出し、さらにマルウェアをインストールしていたとのこと。4つの脆弱性を併用することで、Exchange 2013以降を使用するオンプレミスの脆弱なサーバーを侵害できる攻撃の連鎖が作られるという。
Hafniumは中国を拠点に活動しているが、攻撃を仕かけるために米国内のサーバーを利用していると同社は述べている。Microsoftは、Hafniumがこれら4つの新しい脆弱性を最初に発見したハッカーグループであるとも述べた(同社のブログ記事の以前のバージョンでは、Hafniumがこの脆弱性を悪用する「唯一の」グループであると誤って記述されていた)。
Microsoftは攻撃が成功した数については明言を避けたが、その件数は「限られたもの」と説明した。
該当する4つのセキュリティ脆弱性を修正するためのパッチは現在すでに公開されており、通常は毎月第2火曜日に予定されている同社の典型的なパッチ適用スケジュールよりも1週間早い公表となった。
「Microsoftの顧客セキュリティ担当副社長であるTom Burt(トム・バート)氏は次のように述べた。「Hafniumの攻撃に対するアップデートを迅速に配備するよう尽力しましたが、多くの国家活動家や犯罪グループが、パッチが適用されていないシステムを利用しようと迅速に動くことが予想されます」。
同社は米政府機関にも調査結果をブリーフィングしたとしているが、今回のHafniumによる攻撃は、米連邦政府機関に対するSolarWinds関連のスパイ活動とは関係ないとしている。トランプ政権末期にNSA(米国家安全保障局)とFBIは、SolarWindsの件は「ロシア起源の可能性が高い」と述べていた。
関連記事
・FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
・NASAと米連邦航空局もSolarWinds製品を使った大規模ハッキングで被害に遭ったとの報道
カテゴリー:セキュリティ
タグ:Microsoft、中国、ハッキング、マルウェア、ゼロデイ攻撃
画像クレジット:Drew Angerer / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)
