Rackspaceは1月6日(米国時間)、「Rackspace Email & Apps System Status Page」において、2022年12月2日に発覚した「Rackspace Hosted Exchange電子メールインシデント」に関する調査結果を報告した。同社はこのサイバー攻撃が当時Microsoft Exchangeサーバのゼロデイの脆弱性だった「CVE-2022-41080」に関連して実施されたものと結論付けている。
報告されている主な調査結果は次のとおり。
- 「PLAY」と呼ばれるサイバー攻撃者が、ゼロデイの脆弱性(CVE-2022-41080)を悪用してRackspace Hosted Exchange電子メール環境への初期アクセスを獲得した
- Rackspace Hosted Exchange電子メール環境を利用していた顧客約3万人のうち、27人の顧客の個人用ストレージテーブルに不正アクセスが行われた
Rackspaceは今回インシデントが発生したHosted Exchange電子メール環境は再構築されることはないとしている。同社は以前からHosted Exchange電子メール環境をMicrosoft 365へ移行する計画を進めており、現在のプラットフォームは継続して提供するものの、長期的な視点からはMicrosoft 365への移行を進めていくとみられる。
Rackspaceの今回のセキュリティインシデントに関しては、CrowdStrikeが発表した「OWASSRF: CrowdStrike Identifies New Method for Bypassing ProxyNotShell Mitigations」に詳しい攻撃方法が説明されている。この問題はRackspaceのみならず、同じ脆弱性を抱えたMicrosoft Exchangeサーバを使っているユーザーが影響を受ける可能性があることから注意が必要。Microsoft Exchangeサーバを利用している場合は、CrowdStrikeが発表した内容を確認しておくことが望まれる。
Microsoftはこの脆弱性に対し、セキュリティアップデートを提供済。該当する製品を使用している場合は、迅速に脆弱性が修正された最新版へアップデートすることが望まれる(参考「Released: November 2022 Exchange Server Security Updates - Microsoft Community Hub」)。