トム バート (Tom Burt)
Customer Security & Trust 担当コーポレートバイスプレジデント
本ブログは、米国時間 3 月 2 日に公開された “New nation-state cyberattacks” の抄訳を基に掲載しています。
本日、Microsoft Threat Intelligence Center (MSTIC) により発見された、国家の支援を受けていると思われる、Hafnium と呼ぶ脅威アクターに関する情報を公表します。Hafnium は、中国から操作されており、その活動について共有するのは今回が初めてです。これは、きわめて高度なアクターです。
今まで、Hafnium は、感染病研究者、法律事務所、高等教育機関、防衛産業請負業者、政策シンクタンク、NGO などの多くの業界セクターにおいて、情報の盗用を目的に、主に米国内の機関をターゲットとしてきました。Hafnium は、中国を拠点にしていますが、主な操作は米国内に設置された VPS (Virtual Private Servers) から行なわれています。
最近になり、Hafnium は、オンプレミスの Exchange Server ソフトウェアに対する従来知られていなかった脆弱性を利用して数多くの攻撃を行なっています。今までのところ、この脆弱性を利用しているアクターとしては Hafnium が主なものです。詳細については、MSTIC による技術情報をご参照ください。この攻撃は 3 つのステップから成ります。第 1 に、盗んだパスワード、あるいは、アクセス権限のある者になりすますことができる未知の脆弱性により、Exchange Server にアクセスします。第 2 に、侵入したサーバをリモートからコントロールするために Web シェルと呼ばれるものを作成します。第 3 に、(米国内のプライベートサーバで稼働する) リモートアクセスにより、組織のネットワークからデータを盗み出します。
マイクロソフトは、この攻撃で使用されている脆弱性からお客様を守ることに注力しています。本日、Exchange Server を稼働するお客様を保護するためのセキュリティ更新プログラムをリリースしました。Exchange Server を使用されているすべてのお客様がこのセキュリティ更新プログラムを直ちに適用することを強くお勧めいたします。Exchange Server は、主に企業のお客様によって使用されており、Hafnium が消費者個人をターゲットとしている証拠、および、他のマイクロソフト製品に影響を及ぼしている証拠については把握しておりません。
マイクロソフトは、Hafnium による攻撃に対応するセキュリティ更新プログラムを迅速に展開すべく取り組んでいますが、多くの国家支援型アクターや犯罪者グループが狡猾に動き、セキュリティ更新プログラムが適用されていないシステムに攻撃を行なうことはよくあります。これらの攻撃に対する最良の防御は、本日提供されたセキュリティ更新プログラムを直ちに適用することです。
私たちマイクロソフトは、お客様に新たな保護手段を提供することに加え、米国政府に対してこの攻撃に関する報告を行っています。
市民社会にとってきわめて重要な機関に対する国家支援グループの攻撃について、マイクロソフトが情報を公表したのは、過去 12 カ月間において、これが 8 回目です。他に公表したケースには、Covid-19 に対応するヘルスケア組織をターゲットとしたもの、2020 年大統領選における選挙活動等をターゲットとしたもの、大規模な政策決定会議の著名出席者をターゲットとしたものなどがありました。
多くの組織が、世界に向けて、組織間で、そして、セキュリティ防御を担う政府機関に対して情報を提供していただくことを期待しています。この Hafnium の新たな攻撃に関してマイクロソフトに通知し、対応について真摯に協力していただいた、Volexity と Dubex の研究者の皆様には感謝しています。サイバー攻撃からの防御を適切に行なうためには、多くの情報共有が必要です。これが、マイクロソフトのプレジデント、ブラッド スミス (Brad Smith) が、サイバー攻撃の報告を義務付けるステップを取るべきであると、最近、米国連邦議会に対して提案した理由です。
ここで述べた攻撃と SolarWinds 攻撃との関連性はありません。SolarWinds 攻撃の背後にいるアクターが、マイクロソフトの製品やサービスの脆弱性を発見、あるいは、利用しているという証拠は依然としてありません。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
