FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行
今回は「FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行」についてご紹介します。
関連ワード (FBI、Microsoft、ハッキング、米国等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
ヒューストンの裁判所は、米国内にある数百のMicrosoft Exchange(マイクロソフト・エクスチェンジ)メールサーバーのバックドアの「コピーと削除」を行うというFBIの作戦に許可を与えた。数カ月前、そのサーバーの4つの未発見の脆弱性を突いたハッカー集団が、数千ものネットワークに攻撃を加えている。
米国時間4月13日、米司法省はこの作戦を公表し「成功した」と伝えた。
2021年3月、Microsoftは、新たな中国の国家支援型ハッカー集団Hafnium(ハフニウム)が、企業ネットワークが運用するExchangeメールサーバーを狙っていることを発見した。4つの脆弱性を連結すると、脆弱なExchangeサーバーへの侵入が可能となり、コンテンツが盗み出せるようになる。Microsoftはその脆弱性を修復したが、パッチではサーバーのバックドアを塞ぐことはできず、もうすでに突破されている。その数日後には、他のハッカー集団が同じ欠陥のある脆弱なサーバーへの攻撃を開始し、ランサムウェアがばら撒かれてしまった。
関連記事:ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている
感染したサーバーの数は、パッチの適用により減少した。しかし、数百ものExchangeサーバーは脆弱なまま残されている。バックドアは見つけにくく、取り去るのも困難だからだと、司法省は声明で述べてる。
「この作戦では、米国のネットワークへの不正アクセスを継続できるよう、1つのハッカー集団が残していった、維持管理と持続性の強化のためのウェブシェルを排除しました」と声明は記している。「FBIは、ウェブシェルを通じてウェブシェルのみ(一意のファイルパスから識別)を消し去るよう指示するコマンドをサーバーに送り、削除を実行しました」。
FBIによれば、それはバックドアを削除したサーバーからオーナーに、通知メールの送信を試みるという。
John C. Demers(ジョン・C・デマーズ)次官補は、この作戦は「破壊的なハッキング行為に対して、司法省は、起訴だけでなく、あらゆる手段を持ちいて関与する旨を示すもの」だと話している。
司法省はまた、この作戦ではバックドアの削除のみを行ったが、そもそもハッカーが悪用した脆弱性にパッチを当てるものでも、中に残されたマルウェアを排除するものでもないと言っている。
FBIがサイバー攻撃を受けた民間のネットワークを実際にクリーンアップしたのは、これが最初だと思われる。2016年、最高裁判所は、米国の判事が管轄区外での捜査および押収の令状発行を可能にする提案を行った。当時、批評家たちはこの提案に反対だった。FBIが仲のいい裁判所に頼めば、世界中どこでもサイバー作戦が合法的に行えるようになってしまうのを恐れてのことだ。
フランスなど他の国では、同様の権限を行使してボットネットを乗っ取り、遠隔で破壊したことがある。
FBIも司法省も、本稿の公開までにはコメントの要求に応じていない。
関連記事
・米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
・中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告
・Avastと仏警察、85万台感染の暗号通貨マイニング・ボットネットを壊滅
画像クレジット:Bryce Durbin / TechCrunch
【原文】
A court in Houston has authorized an FBI operation to “copy and remove” backdoors from hundreds of Microsoft Exchange email servers in the United States, months after hackers used four previously undiscovered vulnerabilities to attack thousands of networks.
The Justice Department announced the operation on Tuesday, which it described as “successful.”
In March, Microsoft discovered a new China state-sponsored hacking group — Hafnium — targeting Exchange servers run from company networks. The four vulnerabilities when chained together allowed the hackers to break into a vulnerable Exchange server and steal its contents. Microsoft fixed the vulnerabilities but the patches did not close the backdoors from the servers that had already been breached. Within days, other hacking groups began hitting vulnerable servers with the same flaws to deploy ransomware.
The number of infected servers dropped as patches were applied. But hundreds of Exchange servers remained vulnerable because the backdoors are difficult to find and eliminate, the Justice Department said in a statement.
“This operation removed one early hacking group’s remaining web shells which could have been used to maintain and escalate persistent, unauthorized access to U.S. networks,” the statement said. “The FBI conducted the removal by issuing a command through the web shell to the server, which was designed to cause the server to delete only the web shell (identified by its unique file path).”
The FBI said it’s attempting to inform owners via email of servers from which it removed the backdoors.
Assistant attorney general John C. Demers said the operation “demonstrates the Department’s commitment to disrupt hacking activity using all of our legal tools, not just prosecutions.”
The Justice Department also said the operation only removed the backdoors, but did not patch the vulnerabilities exploited by the hackers to begin with or remove any malware left behind.
It’s believed this is the first known case of the FBI effectively cleaning up private networks following a cyberattack. In 2016, the Supreme Court moved to allow U.S. judges to issue search and seizure warrants outside of their district. Critics opposed the move at the time, fearing the FBI could ask a friendly court to authorized cyber-operations for anywhere in the world.
Other countries, like France, have used similar powers before to hijack a botnet and remotely shutting it down.
Neither the FBI nor the Justice Department commented by press time.
(文:Zack Whittaker、翻訳:金井哲夫)
日本マイクロソフト - Official Home Page
マイクロソフトは、世界中のすべての人々とビジネスの持つ可能性を最大限に引き出すための支援をさせていただくことを使命として、Surface などのデバイスからクラウドサービスまで多種多様な製品・サービスの開発・提供により、様々な分野で事業を展開しています。
Microsoft アカウント | サインインするか、今すぐアカウントを ...
Sign In with your Microsoft account. One account. One place to manage it all. Welcome to your account dashboard.
Microsoft サポート
Microsoft は、Office、Windows、Surface などの製品を支援するためにここにいます。記事、ビデオ、トレーニング、チュートリアルなどを検索します。
Office 365 login
Collaborate for free with online versions of Microsoft Word, PowerPoint, Excel, and OneNote. Save documents, spreadsheets, and presentations online, in OneDrive. Share them with others and work together at the same time.
Microsoft Edge
Microsoft Azure Microsoft Dynamics 365 Microsoft 365 Microsoft Industry データ プラットフォーム Power Platform 法人向けを購入する Developer & IT .NET Visual Studio Windows Server Windows アプリの開発 ドキュメント Power Apps
Microsoft Update
Use your Start menu to check for updates Windows Update is included in Control Panel. To check for updates: Click the Start button, click All Programs, and then click Windows Update.
Microsoft Support
Microsoft is here to help you with products including Office, Windows, Surface, and more. Find articles, videos, training, tutorials, and more.
My Account
Can’t access your account?
Microsoft To Do へようこそ
Microsoft 365 Microsoft Industry Data platform Microsoft Advertising Power Platform Shop Business Developer & IT .NET Visual Studio Windows Server Windows Dev Center Docs Power Apps HoloLens 2 Other Microsoft Rewards
Microsoft Certifications | Microsoft Docs
あなたが今日の技術的ロールおよび要件に通用していることを示す認定資格を取得しましょう。認定パスを検出するジョブロールを選択します。
