ドイツ連邦政府情報セキュリティ庁(BSI: Bundesamt für Sicherheit in der Informationstechnik)は3月26日(現地時間)、「(PDF) Tausende Microsoft-Exchange-Server in Deutschland weiterhin für kritische Schwachstellen verwundbar - Bundesamt für Sicherheit in der Informationstechnik」において、インターネットからアクセスできるドイツ国内のMicrosoft Exchangeサーバのうち約1万7,000台(37%)が脆弱なバージョンを使用しているとして、注意喚起した。

  • (PDF) Tausende Microsoft-Exchange-Server in Deutschland weiterhin für kritische Schwachstellen verwundbar - Bundesamt für Sicherheit in der Informationstechnik

    (PDF) Tausende Microsoft-Exchange-Server in Deutschland weiterhin für kritische Schwachstellen verwundbar - Bundesamt für Sicherheit in der Informationstechnik

脆弱なMicrosoft Exchangeサーバの実態

ドイツ連邦政府情報セキュリティ庁が公開した資料によると、ドイツ国内では合計約4万5,000台のMicrosoft Exchangeサーバがインターネットからアクセスできる状態で運用されている。そのうち、約12%にあたる5,400台ほどがサポート期限切れのMicrosoft Exchange 2010または2013を使用しており、約25%にあたる1万1,200台ほどが脆弱性を修正していないMicrosoft Exchange 2016または2019を使用しているという。

約48%のサーバは緊急の脆弱性「CVE-2024-21410」の影響を受けているとみられているが、緩和策を実施している可能性があるため、脆弱か否かの判断はできないとしている。残りの約15%は最新のMicrosoft Exchange 2019 CU14を使用しており安全と推測されている。

  • ドイツ国内におけるMicrosoft Exchangeサーバーの分布 - 引用:Bundesamt für Sicherheit in der Informationstechnik

    ドイツ国内におけるMicrosoft Exchangeサーバーの分布 引用:Bundesamt für Sicherheit in der Informationstechnik

影響と対策

これら脆弱なサーバは教育機関、病院、診療所、介護施設、弁護士事務所、税理士事務所、地方自治体、中堅企業に多く存在するとみられている。ドイツ連邦政府情報セキュリティ庁はこれまでに数回警告を発して情報セキュリティの脅威状況が「レッド」だと宣言しているが、サーバの管理者が対策を講じないため状況は改善されていないと指摘している。

ドイツ連邦政府情報セキュリティ庁は状況を改善するため、Microsoft Exchangeサーバの管理者に対して最新のセキュリティアップデートを定期的に確認し、アップデートを速やかに適用することを求めている。

また、追加の保護としてサーバへのアクセス制限を実施するか、または仮想プライベートネットワーク(VPN: Virtual Private Network)を経由してアクセスするように構成することを推奨している。