攻撃者は「Microsoft製品」を攻略か？ 狙われ続けるOutlookユーザー：「Microsoft Outlook」の脆弱性を狙う攻撃【後編】

「Microsoft Outlook」の脆弱性を悪用した攻撃が明らかになった。セキュリティ組織は、攻撃者が直接不正アクセスをする手段を失っても危険性が残ることに注意する必要がある。それはなぜか。

[Arielle Waldman，TechTarget]

　クライアントOS「Windows」用のメールクライアント「Microsoft Outlook」に深刻な脆弱（ぜいじゃく）性「CVE-2023-23397」が存在することを、Microsoftは2023年3月に公開した。ポーランドのサイバーセキュリティを防衛する国家組織Wojsk Obrony Cyberprzestrzeniは、CVE-2023-23397を悪用して攻撃を繰り広げる攻撃者集団「Forest Blizzard」（「Fancy Bear」または「APT 28」としても知られる）を報告した。

　Wojsk Obrony Cyberprzestrzeniは、Forest Blizzardの攻撃活動を「Silence」（沈黙）と名付けた。Microsoftがパッチ（更新プログラム）公開済みであるにもかかわらず、なぜ危険な状況が続いているのか。

Microsoft製品に精通する攻撃者　依然として残る危険性とは？

連載：「Microsoft Outlook」の脆弱性を狙う攻撃

• 前編：「Microsoft Outlook」がパッチ公開後も狙われ続ける事態に

併せて読みたいお薦め記事

Windows製品／サービスの脆弱性

• 「Microsoftアカウント」のセキュリティはなぜ崩れてしまったのか
• 「Exchange」の“設計上のミス”が招いた情報漏えいとは？

　Forest BlizzardはSilenceの攻撃活動において、ITに詳しくないエンドユーザーを狙い、メールサーバ「Microsoft Exchange」内のアカウントに不正アクセスができるようにした。Wojsk Obrony Cyberprzestrzeniは、ブルートフォース（総当たり）攻撃とCVE-2023-23397の悪用という2つの初期攻撃によって、エンドユーザーのメールボックスに不正アクセスする攻撃を観測した。Forest BlizzardはMicrosoft Exchangeの脆弱性を悪用して、認証用プロトコル「NTLM」（New Technology LAN Manager）におけるユーザーアカウントのパスワードのハッシュ値を盗むことができた。

　その次にForest Blizzardは、エンドユーザーのメールボックスにアクセスし、スパイ目的でメールボックスのアクセス権限を変更した。ここで「デフォルト」グループ（企業内の全認証済みエンドユーザー）のデフォルトのアクセス権限を、「なし」から「所有者」に変更する操作を主に実施したという。この権限変更により、アクセス権限を付与されたフォルダの内容を、企業内の認証済みエンドユーザーであれば誰でも読み取ることができるようになる。

　Wojsk Obrony Cyberprzestrzeniは、Forest Blizzardが自身にとって価値のある情報を含むメールボックスのフォルダ権限を変更していることを確認した。Forest Blizzardは、Microsoft Exchangeサーバへのアクセスを可能にするためのWebプロトコルを使用することで、標的企業内のあらゆるメールアカウントを侵害できた。Polish Cyber Commandはアドバイザリーにおいて、Forest Blizzardがメールボックスに直接アクセスする手段を失った後も、Microsoft Exchangeサーバに潜んでいる可能性があることを企業に警告している。

　「このような権限変更により、メールボックスに直接アクセスできなくなった後でも、メールボックスの内容を不正に知り続けることができる点には注意すべきだ」と、Wojsk Obrony Cyberprzestrzeniのアドバイザリーは述べる。

　Wojsk Obrony Cyberprzestrzeniは観測した活動に基づいて、Forest Blizzardが「Microsoft Exchangeのアーキテクチャとメカニズムに関する完全な知識」を持っていると評価した。「Forest Blizzardの回避技術により、攻撃を特定することは困難だ」とも警告している。脅威の検出とインシデント対処には、ログ分析が不可欠だ。

　Silentキャンペーンは、すでに世界中の政府や民間部門に影響を与えている可能性があると、Wojsk Obrony Cyberprzestrzeniは指摘する。対策として、同組織が提供するツールキットの実行や、Microsoft Exchangeアカウントとメールボックスの設定の見直しを推奨している。

　脅威を軽減するためにMicrosoftが推奨するのは以下の事項だ。

• CVE-2023-23397のパッチ（更新プログラム）を適用する
• 侵害されたエンドユーザーのパスワードをリセットする
• Microsoft Exchangeで不要なサービスを無効にする
• 多要素認証を導入する

　企業のパッチ適用が遅れていることがCVE-2023-23397の継続的な悪用の一因になった。一方で別の調査では、CVE-2023-23397に関してMicrosoftが提供するパッチを、回避する手法が見つかっている。2023年5月、Akamai Technologiesのセキュリティ研究者であるベン・バーニー氏は、MicrosoftのWebブラウザ「Internet Explorer」に存在する脆弱性「CVE-2023-29324」を使用することで、CVE-2023-23397に対するMicrosoft の修正を回避できることを発見した。同月、Microsoftは対策としてセキュリティ更新プログラムを公開した。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。