消えないExchange Server脆弱性「ProxyLogon」の脅威 パッチがあるのになぜ?どうなった「Exchange Server」の“あの脆弱性”【第3回】

「ProxyLogon」は始まりにすぎなかった。2020年末からMicrosoftの「Exchange Server」に見つかった脆弱性は、ProxyLogonだけではない。

2023年02月17日 08時15分 公開
[Shaun NicholsTechTarget]

 2020年12月から「ProxyLogon」を皮切りにして、Microsoftのオンプレミス版メールサーバ「Exchange Server」に複数の脆弱(ぜいじゃく)性が見つかった。「Proxy」で始まる名称が付いたそれらの脆弱性は、2023年現在も、Exchange Serverのユーザー企業にとって脅威になっている。それはなぜなのか。

だから「ProxyLogon」の脅威は消えない

 Exchange Serverの脆弱性「ProxyOracle」は、台湾のセキュリティコンサルティング会社DEVCOREのセキュリティ研究者、オレンジ・ツァイ氏が発見した。ツァイ氏によると、ProxyOracleはExchange Serverの他の脆弱性と比べて比較的リスクが低い。

 ProxyOracleは、CVE(共通脆弱性識別子)リストでは「CVE-2021-31195」「CVE-2021-31196」に分割される。攻撃者はこれら2つの脆弱性を悪用することで「セッションcookie」にアクセスし、パスワードを不正入手できる恐れがあるという。セッションcookieは、エンドユーザーがWebサービスで認証済みであることを証明し、再度認証しなくてもセッション(Webサイトへのアクセスの単位)を続けられるようにする機能だ。

 ツァイ氏はProxyOracleを悪用した攻撃について「標的となったエンドユーザーが攻撃の途中でWebブラウザを閉じても、攻撃が継続する点が巧妙だ」と説明する。

脅威はさらに拡大 「ProxyShell」も発見

 Exchange Serverの脆弱性の発見はProxyOracleで終わらなかった。2021年8月、ツァイ氏は年次のセキュリティカンファレンス「Black Hat USA 2021」で、3つの脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)群である「ProxyShell」について説明した。同氏によると、ProxyShellは2021年4月、トレンドマイクロの脆弱性発見コミュニティー「Zero Day Initiative」の報告で存在が知られた。

 ProxyShellは認証の迂回(うかい)、不正な権限昇格、不正コマンドの実行という3つのことを可能にする脆弱性群だ。攻撃者は3つの脆弱性を悪用することで、443番ポート(WebサーバがWebブラウザと通信するポート)経由で標的のシステムへの侵入が可能になる。侵入すればシステムからデータを抽出したり、ランサムウェア(身代金要求型マルウェア)攻撃を実行したりできる。被害拡大につながるラテラル(横方向)のシステム移動も可能だ。

 発見後、MicrosoftはProxyShellのパッチ(修正プログラム)を公開した。しかしExchange Serverのユーザー企業の中には、ProxyShellの危険性を正しく評価せず、パッチ適用を放置することがあったとセキュリティ専門家はみる。

 セキュリティベンダーSevco SecurityのCXO(最高ユーザー体験責任者)グレッグ・フィッツジェラルド氏は、「ユーザー企業は『Patch Tuesday』(Microsoftが月例で提供する修正プログラム)の重要性を正しく認識しない場合がある」と話す。Microsoftがパッチを公開して脆弱性問題が解決したと考えても、パッチを適用しないユーザー企業がある限り、リスクは残る。


 第4回は、Exchange Serverのもう一つの脆弱性「ProxyRelay」を取り上げる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news132.jpg

ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。

news103.jpg

なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...

news160.jpg

業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...