ヒューストンの裁判所は、米国内にある数百のMicrosoft Exchange(マイクロソフト・エクスチェンジ)メールサーバーのバックドアの「コピーと削除」を行うというFBIの作戦に許可を与えた。数カ月前、そのサーバーの4つの未発見の脆弱性を突いたハッカー集団が、数千ものネットワークに攻撃を加えている。
米国時間4月13日、米司法省はこの作戦を公表し「成功した」と伝えた。
2021年3月、Microsoftは、新たな中国の国家支援型ハッカー集団Hafnium(ハフニウム)が、企業ネットワークが運用するExchangeメールサーバーを狙っていることを発見した。4つの脆弱性を連結すると、脆弱なExchangeサーバーへの侵入が可能となり、コンテンツが盗み出せるようになる。Microsoftはその脆弱性を修復したが、パッチではサーバーのバックドアを塞ぐことはできず、もうすでに突破されている。その数日後には、他のハッカー集団が同じ欠陥のある脆弱なサーバーへの攻撃を開始し、ランサムウェアがばら撒かれてしまった。
関連記事:ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている
感染したサーバーの数は、パッチの適用により減少した。しかし、数百ものExchangeサーバーは脆弱なまま残されている。バックドアは見つけにくく、取り去るのも困難だからだと、司法省は声明で述べてる。
「この作戦では、米国のネットワークへの不正アクセスを継続できるよう、1つのハッカー集団が残していった、維持管理と持続性の強化のためのウェブシェルを排除しました」と声明は記している。「FBIは、ウェブシェルを通じてウェブシェルのみ(一意のファイルパスから識別)を消し去るよう指示するコマンドをサーバーに送り、削除を実行しました」。
FBIによれば、それはバックドアを削除したサーバーからオーナーに、通知メールの送信を試みるという。
John C. Demers(ジョン・C・デマーズ)次官補は、この作戦は「破壊的なハッキング行為に対して、司法省は、起訴だけでなく、あらゆる手段を持ちいて関与する旨を示すもの」だと話している。
司法省はまた、この作戦ではバックドアの削除のみを行ったが、そもそもハッカーが悪用した脆弱性にパッチを当てるものでも、中に残されたマルウェアを排除するものでもないと言っている。
FBIがサイバー攻撃を受けた民間のネットワークを実際にクリーンアップしたのは、これが最初だと思われる。2016年、最高裁判所は、米国の判事が管轄区外での捜査および押収の令状発行を可能にする提案を行った。当時、批評家たちはこの提案に反対だった。FBIが仲のいい裁判所に頼めば、世界中どこでもサイバー作戦が合法的に行えるようになってしまうのを恐れてのことだ。
フランスなど他の国では、同様の権限を行使してボットネットを乗っ取り、遠隔で破壊したことがある。
FBIも司法省も、本稿の公開までにはコメントの要求に応じていない。
関連記事
・米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
・中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告
・Avastと仏警察、85万台感染の暗号通貨マイニング・ボットネットを壊滅
カテゴリー:セキュリティ
タグ:FBI、米国、ハッキング、Microsoft
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:金井哲夫)
