【概要】
- 被害に遭った組織は少なく見積もっても米国だけで3万、世界中で数十万と推定される
- 緊急パッチを適用したとしても、既に不正侵入されていた場合の修復は不可能
- 脆弱性はオンプレミス版Exchange Serverに存在
- 7件の脆弱性のうち4件が、2日の時点で既に標的型攻撃に利用(ProxyLogon)
- 緊急パッチが適用されていないシステムを狙って複数の集団が攻撃を継続
- 緩和策は、もしも既にExchangeサーバが不正侵入されていた場合の問題解決にはならない
■攻撃方法
- 脆弱性を悪用してExchange Serverに接続
- 遠隔操作するために「WebShell」を導入
- 被害組織の電子メールアカウントに侵入し、データを盗み出す
■攻撃組織(Actor)
- Hafnium
- Hafnium以外にも、この問題を悪用する集団が増え続けている
【ニュース】
◆「Exchange Server」攻撃が世界中で拡大、対応支援の要請殺到 中国の集団が関与か (ITmedia, 2021/03/09 15:06)
https://www.itmedia.co.jp/news/articles/2103/09/news103.html
【関連まとめ記事】
◆全体まとめ
◆インシデント (まとめ)
◆標的型攻撃のインシデント (まとめ)
◆Exchange Server への大規模サイバー攻撃 (まとめ)
https://malware-log.hatenablog.com/entry/Exchange_Server_202103