Microsoft Exchangeサーバは、長年にわたってサイバー犯罪者からの攻撃にさらされているソフトウェアの一つである。ユーザーのメールボックスやアドレス帳には重要な機密データが含まれているケースが多く、攻撃者にとっては魅力的な標的だからだ。そのような攻撃を回避するために、Microsoftは1月26日(現地時間)、Exchange Team Blog「 Protect Your Exchange Servers」において、使用しているExchangeサーバを常に最新の状態に保よう注意喚起を促した。
記事では、パッチを適用していないExchangeサーバに対する攻撃が消えることはないと断言し、その主な理由として以下を挙げている。
- メールボックスに重要な機密データが含まれている可能性が高い。
- すべてのExchangeサーバに会社のアドレス帳のコピーが含まれており、組織構造や役職、連絡先といったソーシャルエンジニアリング攻撃に役立つ多くの情報が提供されている
- ExchangeにはActive Directoryへのアクセス許可があるため、ハイブリッド環境では接続されたクラウド環境にアクセスできる可能性がある
現実問題、Exchangeサーバのゼロデイ脆弱性や既知の脆弱性を悪用した攻撃は後を絶たない。例えば、2021年に報告された「ProxyShell」と呼ばれるリモートコード実行の脆弱性は、深刻度が緊急(Critical)に分類される極めて影響の大きいものだったが、Microsoftがパッチをリリースした後も長期間にわたって攻撃に悪用され、パッチ未適用の多くの組織が被害を受けることになった(参考記事:Microsoft Exchangeが攻撃されている、米国当局が注意呼びかけ | TECH+(テックプラス))
最近の事例としては、2022年12月2日に発覚したRackspace TechnologyのHosted Exchange環境に対するサイバー攻撃が挙げられる。調査の結果、この攻撃にはExchangeサーバのゼロデイ脆弱性「CVE-2022-41080」が悪利用されており、パッチを当てずに緩和策で対応していたところを狙われたことが判明している(参考記事:Rackspaceのサイバー攻撃、原因はExchange Serverのゼロデイ脆弱性だった | TECH+(テックプラス))。
Microsoftは、既知の脆弱性を悪用した攻撃からExchangeサーバを防御するには、サポートされている最新のCU(累積的な更新プログラム)とSU(セキュリティ更新プログラム)を適用する必要があると説明している。CUとSUは累積的なパッチになるため、利用可能な最新のバージョンをインストールすれば、過去のパッチもすべて適用されることになる。Exchange Team Blogの記事では、Exchangeサーバをアップデートする具体的な手順も解説されている。