検索
特集/連載

「Exchange Server」「Exchange Online」の情報漏えいを防ぐ2つの対策Exchange「Autodiscover」の脆弱性とは【中編】

「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。

Share
Tweet
LINE
Hatena

 セキュリティベンダーGuardicoreは、Microsoftのメールサーバ製品「Exchange Server」およびメールサービス「Exchange Online」の設定自動検出機能「Autodiscover」の脆弱(ぜいじゃく)性を発見した。この脆弱性はAutodiscoverが設定を自動検出する際、検出対象となるURLの生成方法に問題があることに起因する。

「Exchange」を守るには、どう対策すればよいのか

 Autodiscoverの脆弱性は新しい問題ではない。Shape Securityは2017年にAutodiscoverの脆弱性「CVE-2016-9940」「CVE-2017-2414」を発見し、同年のセキュリティイベント「Black Hat Asia 2017」で調査結果を発表した。当時これらの脆弱性は、モバイルデバイスのメールクライアントに影響するという事実しか判明していなかった。

 その後、脅威ははるかに拡大した。メールクライアント以外のアプリケーションもAutodiscoverの脆弱性の影響を受けることが分かったからだ。「われわれはこうした状況に対処しなければならない」と、Guardicoreのセキュリティリサーチ担当エリアバイスプレジデントのアミット・サーパー氏は述べる。

 Guardicoreが公開したレポートは、Autodiscoverの脆弱性による影響を軽減する2つの方法を提示する。

 1つ目はExchange ServerやExchange Onlineユーザー向けのものだ。Guardicoreは以下の事項を推奨する。

  • ファイアウォールでURLに「Autodiscover.」を含む通信をブロックする
  • Exchange ServerやExchange Onlineをセットアップする際に、HTTPの基本認証(ベーシック認証)を無効にする
    • HTTPの基本認証は、HTTPリクエスト(Webサーバへの応答要求)のたびに資格情報(IDとパスワード)を送信する仕組みだ。そのため通信路暗号化を利用していない場合に、資格情報が漏えいするリスクが高まるとMicrosoftは説明する。

 2つ目はソフトウェア開発者向けのものだ。「開発者は、Autodiscoverが誤った手順を踏む“ありがた迷惑”な存在にならないようにしなければならない」とサーパー氏は説明する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る