一般相対性osugi3yのブログ

14年勤めた企業をやめました。映画「時の行路」尾道市実行委員

シン・すべたがNになる〜不定期連載〜

  新たな国家によるサイバー攻撃

 | 

Corporate Vice President, Customer Security & Trust

 

f:id:osugi3y:20210325071750p:plain

 本日は、Microsoft Threat Intelligence Center (MSTIC)が確認した、Hafniumと呼ばれる国家支援型の脅威アクターについての情報をお伝えします。Hafniumは中国で活動していますが、その活動を紹介するのは今回が初めてです。Hafniumは、高度な技術を持つ洗練されたアクターです。

 これまでHafniumは、感染症研究者、法律事務所、高等教育機関、防衛請負業者、政策シンクタンクNGOなど、さまざまな業界の情報を流出させる目的で、主に米国の企業を標的にしてきました。Hafniumは中国を拠点としていますが、主に米国内の仮想プライベートサーバー(VPS)をリースして活動しています。

最近、Hafniumは、オンプレミスのExchange Serverソフトウェアを標的とした、これまで知られていなかったエクスプロイトを利用した攻撃を数多く行っています。現在までのところ、Hafniumは、これらのエクスプロイトを使用した主な行為者であり、その詳細についてはMSTICがこちらで説明しています。この攻撃には3つのステップがあります。まず、パスワードを盗んだり、未発見の脆弱性を利用してアクセス権を持つ人物になりすましたりして、Exchange Serverにアクセスします。第2に、ウェブシェルと呼ばれるものを作成して、侵害されたサーバーを遠隔操作します。第3に、米国のプライベートサーバーから実行されるリモートアクセスを利用して、組織のネットワークからデータを盗みます。

 私たちは、これらの攻撃を実行するために使用されるエクスプロイトからお客様を保護することに注力しています。本日、Exchange Serverをお使いのお客様を保護するためのセキュリティアップデートをリリースしました。すべてのExchange Serverのお客様に、これらのアップデートを直ちに適用することを強くお勧めします。Hafniumの活動が個人の消費者を対象としているという証拠はなく、これらの脆弱性が他のマイクロソフト製品に影響を与えているという証拠もありません。

support.microsoft.com

 当社はHafniumの脆弱性に対するアップデートを迅速に提供していますが、多くの国家機関や犯罪者グループは、パッチが適用されていないシステムを利用しようと素早く行動することがわかっています。本日のパッチを速やかに適用することが、この攻撃に対する最善の防御となります。

 お客様への新たな保護機能の提供に加えて、当社は今回の活動について、米国の適切な政府機関に説明しました。

 マイクロソフト市民社会にとって重要な機関を標的とした国家グループを公開したのは、過去12ヶ月間で8回目となります。当社が公開した他の活動は、Covid-19と戦う医療機関、2020年の選挙に関わる政治運動など、主要な政策決定会議の著名人の出席者を対象としています。

 私たちは、多くの組織が自主的にデータを世界に向けて発信していること、また組織間でデータを共有していること、そして防衛に取り組む政府機関とデータを共有していることに勇気づけられています。この新たなハフニウムの活動の一端を私たちに知らせ、責任ある方法で対処するために協力してくれたVolexity社とDubex社の研究者に感謝しています。私たちは、サイバー攻撃に対する防御を強化するために、より多くの情報を迅速に共有する必要があります。だからこそ、マイクロソフトのブラッド・スミス社長は先日、米国議会でサイバー事件の報告を義務付ける措置を取るべきだと述べたのです。

f:id:osugi3y:20210325074600p:plain

 本日ご紹介するエクスプロイトは、SolarWinds関連の別の攻撃とは一切関係ありません。また、SolarWindsの実行者が、マイクロソフトの製品やサービスの脆弱性を発見したり、悪用したりしたという証拠もありません。


 SolarWindsとは

note.com