「Microsoft Outlook」の脆弱性を悪用した攻撃が明らかになった。セキュリティ組織は、攻撃者が直接不正アクセスをする手段を失っても危険性が残ることに注意する必要がある。それはなぜか。
クライアントOS「Windows」用のメールクライアント「Microsoft Outlook」に深刻な脆弱(ぜいじゃく)性「CVE-2023-23397」が存在することを、Microsoftは2023年3月に公開した。ポーランドのサイバーセキュリティを防衛する国家組織Wojsk Obrony Cyberprzestrzeniは、CVE-2023-23397を悪用して攻撃を繰り広げる攻撃者集団「Forest Blizzard」(「Fancy Bear」または「APT 28」としても知られる)を報告した。
Wojsk Obrony Cyberprzestrzeniは、Forest Blizzardの攻撃活動を「Silence」(沈黙)と名付けた。Microsoftがパッチ(更新プログラム)公開済みであるにもかかわらず、なぜ危険な状況が続いているのか。
Forest BlizzardはSilenceの攻撃活動において、ITに詳しくないエンドユーザーを狙い、メールサーバ「Microsoft Exchange」内のアカウントに不正アクセスができるようにした。Wojsk Obrony Cyberprzestrzeniは、ブルートフォース(総当たり)攻撃とCVE-2023-23397の悪用という2つの初期攻撃によって、エンドユーザーのメールボックスに不正アクセスする攻撃を観測した。Forest BlizzardはMicrosoft Exchangeの脆弱性を悪用して、認証用プロトコル「NTLM」(New Technology LAN Manager)におけるユーザーアカウントのパスワードのハッシュ値を盗むことができた。
その次にForest Blizzardは、エンドユーザーのメールボックスにアクセスし、スパイ目的でメールボックスのアクセス権限を変更した。ここで「デフォルト」グループ(企業内の全認証済みエンドユーザー)のデフォルトのアクセス権限を、「なし」から「所有者」に変更する操作を主に実施したという。この権限変更により、アクセス権限を付与されたフォルダの内容を、企業内の認証済みエンドユーザーであれば誰でも読み取ることができるようになる。
Wojsk Obrony Cyberprzestrzeniは、Forest Blizzardが自身にとって価値のある情報を含むメールボックスのフォルダ権限を変更していることを確認した。Forest Blizzardは、Microsoft Exchangeサーバへのアクセスを可能にするためのWebプロトコルを使用することで、標的企業内のあらゆるメールアカウントを侵害できた。Polish Cyber Commandはアドバイザリーにおいて、Forest Blizzardがメールボックスに直接アクセスする手段を失った後も、Microsoft Exchangeサーバに潜んでいる可能性があることを企業に警告している。
「このような権限変更により、メールボックスに直接アクセスできなくなった後でも、メールボックスの内容を不正に知り続けることができる点には注意すべきだ」と、Wojsk Obrony Cyberprzestrzeniのアドバイザリーは述べる。
Wojsk Obrony Cyberprzestrzeniは観測した活動に基づいて、Forest Blizzardが「Microsoft Exchangeのアーキテクチャとメカニズムに関する完全な知識」を持っていると評価した。「Forest Blizzardの回避技術により、攻撃を特定することは困難だ」とも警告している。脅威の検出とインシデント対処には、ログ分析が不可欠だ。
Silentキャンペーンは、すでに世界中の政府や民間部門に影響を与えている可能性があると、Wojsk Obrony Cyberprzestrzeniは指摘する。対策として、同組織が提供するツールキットの実行や、Microsoft Exchangeアカウントとメールボックスの設定の見直しを推奨している。
脅威を軽減するためにMicrosoftが推奨するのは以下の事項だ。
企業のパッチ適用が遅れていることがCVE-2023-23397の継続的な悪用の一因になった。一方で別の調査では、CVE-2023-23397に関してMicrosoftが提供するパッチを、回避する手法が見つかっている。2023年5月、Akamai Technologiesのセキュリティ研究者であるベン・バーニー氏は、MicrosoftのWebブラウザ「Internet Explorer」に存在する脆弱性「CVE-2023-29324」を使用することで、CVE-2023-23397に対するMicrosoft の修正を回避できることを発見した。同月、Microsoftは対策としてセキュリティ更新プログラムを公開した。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
データの増大やサイロ化に伴い、セキュリティ対策の重要性が高まっている一方、サイバー脅威の高度化もとどまるところを知らない。こうした中、エッジからクラウドまで網羅するデータセキュリティは、どうすれば実現できるのか。
一時期減少したランサムウェア攻撃が再び増加傾向にあるという。攻撃者がAIの力を得て、手口をさらに巧妙化させているためだ。防御側の組織もセキュリティ対策としてAIを取り入れているものの、攻撃者に対して後手に回ってしまっている。
ワークロードのクラウド移行が進むにつれ、企業はセキュリティやコンプライアンスに関する新たな課題に直面している。そこで注目されるのが、Secure Access Service Edge(SASE)とSD-WANの活用だ。5つの視点から、その効果を解説する。
ITシステムの分散化は、多様な働き方を可能にする一方で、サイバーセキュリティの脅威も高めてしまう。そこで、新たなセキュリティアプローチとして注目されているのが、ゼロトラストおよびSASEだ。どのように導入すればよいのか。
人やアプリ、デバイス、データがクラウドやオンプレミスに分散したことで、これら全てを脅威から保護することの難度は格段に上がった。ゼロトラストアクセスを原則として、このような分散環境の包括的な保護を可能にするのがSSEだ。
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
ユーザー任せの「PCセキュリティ」はもう限界 “誰が使っても安全”な方法とは (2025/4/21)
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
