MicrosoftのExchange Server脆弱性が発覚してからの攻撃&対処のタイムラインはこんな感じ

世界の数十万の組織がハッキング攻撃のターゲットになったとみられているMicrosoft Exchange Serverの脆弱性について、セキュリティ研究者のBrian Krebs氏が脆弱性の報告からパッチ公開・攻撃拡大までのタイムラインを公開しました。脆弱性は2021年1月に初めて報告されたものですが、パッチが当初のリリース予定から1週間前倒しで公開されていることから、その緊急さが読み取れます。

2021年3月2日、Microsoftは公式ブログで中国政府系ハッカーグループによるサイバー攻撃について報告。そして続く2021年3月5日、Krebs氏が「Microsoftのメールソフトにある脆弱性を利用し、ハッカーがアメリカの中小企業・町・都市・地方自治体を組む3万組織以上に対してハッキング攻撃を行った」というレポートを発表しています。

中国によるサイバー攻撃で政府が緊急指令を発令、すでに3万以上の組織がハッキングされているとの指摘も - GIGAZINE

攻撃者はメールソフトのMicrosoft Exchange Serverで新たに発見された「ProxyLogon」という4つの脆弱性を悪用し、システムを完全にリモート制御できるWebシェルを植え付けたとみられています。またKrebs氏が匿名を条件にサイバーセキュリティの専門家から得た情報によると、すでに中国のハッキンググループは何十万という世界中のExchange Serversを制御しており、このうちアメリカのアカウントは最低でも約3万件含まれるとのこと。一方で「3万件という数字は極端に控えめ」とも指摘されています。

3月になって大きな話題となったExchange Serverの脆弱性ですが、その最初の報告は1月にあがっていました。Krebs氏は、Exchange Server脆弱性発見から対処までのタイムラインを、以下のように公表しています。

・1月5日：セキュリティコンサルティング企業のDEVCOREがMicrosoftに調査結果を警告。

・1月6日：サイバーセキュリティ企業のVolexityが、Exchangeの未知の脆弱性を使用する攻撃を発見。

・1月8日： DEVCOREが指摘した問題をMicrosoftが再現・検証。

・1月27日：セキュリティ企業のDubexが新しいExchangeの脆弱性に対する攻撃についてMicrosoftに警告。

・1月29日：トレンドマイクロが、「Chopper」と呼ばれるWebシェルがExchangeの脆弱性経由で植え付けられたことをブログで投稿。

・2月2日：Volexityが、これまでに知られていないExchangeの未知の脆弱性を使用する新たな攻撃についてMicrosoftに警告。

・2月8日：Microsoftがレポートを社内でエスカレーションしたことをDubexに通知。

・2月18日：MicrosoftがDEVCOREに対しExchangeの脆弱性に対するセキュリティアップデートの目標を3月9日とすること通知。

・2月26～27日：脆弱性を利用した攻撃が徐々に世界規模になっていることが確認される。この期間に攻撃者がバックドアを仕込む速度があがる。

・3月2日：DEVCOREのセキュリティ研究者であるOrange Tsai氏が、1月5日の「これまでで最も深刻なRCE脆弱性を報告した」というツイートを引用し、そのパッチがリリースされるとツイート。