米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
今回は「米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害」についてご紹介します。
関連ワード (Microsoft、サイバー攻撃、ゼロデイ攻撃、ハッカー、中国等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
米国政府は、その最も重要な連邦ネットワークをハッキングしたロシアへの報復を準備していると報じられているが、米国はサイバー空間でもう1つの古い敵にも直面している。中国だ。
関連記事:FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
Microsoft(マイクロソフト)は3月初旬に、「Hafnium(ハフニウム)」と呼ぶ新たなハッキンググループの存在を明らかにしたが、このグループは中国で活動し、中国が支援している。Hafniumは、これまで報告されていなかった4つのゼロデイ脆弱性を利用して、Microsoft Exchange Server(マイクロソフト・エクスチェンジ・サーバー)をeメールサーバーとして運用している少なくとも数万の組織に侵入し、メールボックスやアドレス帳を盗み出した。
関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告
Hafniumの目的は明らかになっていない。この活動を、国家が大企業や政府から情報や産業上の秘密を収集するスパイ活動になぞらえる人もいる。
しかし、今回の組織的ハッキング活動が大きな被害をもたらしているのは、欠陥が容易に悪用できるからというだけでなく、被害者が非常に多く、広範囲に及ぶからだ。
セキュリティ専門家によると、今回のハッカーはインターネット上で脆弱なサーバーをスキャンして攻撃を自動化しており、法律事務所や政策シンクタンクだけでなく、防衛関連企業や感染症の研究者など、幅広いターゲットや業界を狙っているという。脆弱なExchange Serverのメールーサーバーを運用していたため、Hafniumの攻撃に巻き込まれた膨大な数の被害者には、学校、宗教団体、地方自治体なども含まれる。
マイクロソフトはパッチを公開しているが、米国連邦政府のサイバーセキュリティ諮問機関であるCISAは、パッチは脆弱性を修正するだけで、ハッカーが残したバックドアを閉じることはできないと述べている。
CISA is aware of widespread domestic and international exploitation of Microsoft Exchange Server vulnerabilities and urges scanning Exchange Server logs with Microsoft's IOC detection tool to help determine compromise. https://t.co/khgCR2LAs0. #Cyber #Cybersecurity #InfoSec
— US-CERT (@USCERT_gov) March 6, 2021
CISAは、Microsoft Exchange Serverの脆弱性が国内外で広く利用されていることを認識しており、侵害の有無を判断するために、MicrosoftのIOC検出ツールでExchange Serverのログをスキャンすることを推奨しています。
リソースに余裕のある大規模な組織であれば、システムが侵害されたかどうかを調査し、破壊的なマルウェアやランサムウェアなどのさらなる感染を防ぐため、手を打つことができるだろう。
しかし、地方の小規模な被害者は、自分たちのネットワークが侵害されたかどうかの調査に、すぐに手が回らないことが多い。
Hafniumの発見に貢献したサイバーセキュリティ企業のVolexity(ヴォレクシティ)でセキュリティアナリストを務めるMatthew Meltzer(マシュー・メルツァー)氏は、「我々が見てきたところによると、被害者のタイプは非常に多様で、その多くは、サイバー脅威対応の専門業者ではなく、ITシステムの展開と管理を専門とする地元のITプロバイダーに技術サポートを委託しています」と述べている。
サイバーセキュリティの予算がない場合、被害者は常に侵害されていると考えられる。だが、次に何をすべきかを把握しているとは限らない。パッチを当てて不具合を修正することは、復旧作業の一部に過ぎない。ハッカーの後始末は、サイバーセキュリティの専門知識を持たない中小企業にとって、最も困難な作業となるだろう。
それはまた、他の悪質なハッカーに発見され、同じ脆弱性を利用してランサムウェアを拡散したり、破壊的な攻撃を仕かけたりされるのを防ぐための時間との戦いでもある。Red Canary(レッド・カナリー)とHuntress(ハントレス)の両社は、Hafnium以外のハッキンググループも同じ脆弱性を利用していることが考えられると述べている。ESET(イーセット)によると、少なくとも10のグループが同じサーバーの欠陥を悪用しているとのことだ。
脅威検出を専門とするRed Canaryのインテリジェンス担当ディレクターであるKatie Nickels(ケイティ・ニッケルス)氏は、これらのExchange Serverの脆弱性を悪用した活動が「明らかに広く行われている」としながらも、悪用されるサーバーの数はそれよりずっと少ないと述べている。
「一般的なIT管理者にとっては、最初に使われるWebシェルのクリーンアップをする方が、その後の活動を調査するよりもはるかに簡単でしょう」と、ニッケルス氏は語る。
マイクロソフトは管理者ができることについてのガイダンスを公開しており、CISAはアドバイスと、サーバーのログを検索して不正アクセスの証拠を見つけるためのツールを提供している。また、ホワイトハウスの国家安全保障会議は異例の声明を出し、パッチを当てるだけでは「修復にならない」と警告、企業に対して「直ちに対策を講じる」よう求めている。
Patching and mitigation is not remediation if the servers have already been compromised. It is essential that any organization with a vulnerable server take immediate measures to determine if they were already targeted. https://t.co/HYKF2lA7sn
— National Security Council (@WHNSC) March 6, 2021
サーバーがすでに侵害されている場合、パッチや緩和策は修復策にはなりません。脆弱性のあるサーバを持つ組織は、すでに標的にされていないかどうかを確認するために、早急に対策を講じることが不可欠です。
このようなアドバイスが中小企業にまでどれくらい浸透していくか、注視する必要があるだろう。
中小企業を含む多くの被害者は、自分たちが被害を受けていることに気づいていない可能性があり、たとえ被害を受けていることに気づいたとしても、次に何をすべきかについて段階的な説明が必要になると、サイバーセキュリティの専門家であるRuna Sandvik(ルナ・サンドビック)氏は語る。
「このような脅威から身を守ることも重要ですが、侵害の可能性を調査し、その行為者を排除することは、より大きな課題です」と、サンドビック氏は述べている。「企業にはパッチをインストールできる人はいるでしょう。しかし、それは最初のステップに過ぎません。侵入されたかどうかを調べるには、時間、ツール、ログが必要です」。
セキュリティ専門家によると、Hafniumは主に米国の企業をターゲットにしているが、攻撃はグローバルに行われているという。欧州銀行監督局は、自局のメールサーバーとして使用していたExchange Serverが攻撃を受けたことを確認した最大の組織の1つだ。
ノルウェーの国家安全保障局は、国内で「これらの脆弱性を悪用されたことがすでに確認されている」として、ノルウェーのインターネット空間全体で脆弱なサーバーをスキャンし、その所有者に通知すると発表した。SI-CERTとして知られているスロベニアのサイバーセキュリティ対応部隊は、こちらも自国のインターネット空間で潜在的な被害者に通知したと、Twitter(ツイッター)で述べている。
米国企業の広範囲に及んでいることを考慮すると、米国政府と民間企業は対応を連携するためにもっとできることがあると、サンドビック氏は述べている。CISAは2019年に、脆弱でパッチが適用されていないシステムの所有者を特定するために、インターネットプロバイダーを召喚できる新たな権限を提案した。同庁は12月に政府の年次防衛法案の中でこれらの新しい権限を得たばかりだ。
「誰かがそれを持つ必要があります」と、サンドビック氏は言っている。
関連記事:米国土安全保障省が脆弱システムの利用者開示をISPに義務づけへ、法改正を準備中
画像クレジット:BSIP / Getty Images
【原文】
As the U.S. reportedly readies for retaliation against Russia for hacking into some of the government’s most sensitive federal networks, the U.S. is facing another old adversary in cyberspace: China.
Microsoft last week revealed a new hacking group it calls Hafnium, which operates in, and is backed by, China. Hafnium used four previously unreported vulnerabilities — or zero-days — to break into at least tens of thousands of organizations running vulnerable Microsoft Exchange email servers and steal email mailboxes and address books.
It’s not clear what Hafnium’s motives are. Some liken the activity to espionage — a nation-state gathering intelligence or industrial secrets from larger corporations and governments.
But what makes this particular hacking campaign so damaging is not only the ease with which the flaws can be exploited, but also how many — and how widespread — the victims are.
Security experts say the hackers automated their attacks by scanning the internet for vulnerable servers, hitting a broad range of targets and industries — law firms and policy think tanks, but also defense contractors and infectious disease researchers. Schools, religious institutions and local governments are among the victims running vulnerable Exchange email servers and caught up by the Hafnium attacks.
While Microsoft has published patches, the U.S. federal cybersecurity advisory agency CISA said the patches only fix the vulnerabilities — and won’t close any backdoors left behind by the hackers.
There is little doubt that larger, well-resourced organizations have a better shot at investigating if their systems were compromised, allowing those victims to prevent further infections, like destructive malware or ransomware.
But that leaves the smaller, rural victims largely on their own to investigate if their networks were breached.
“The types of victims we have seen are quite diverse, many of whom outsource technical support to local IT providers whose expertise is in deploying and managing IT systems, not responding to cyber threats,” said Matthew Meltzer, a security analyst at Volexity, a cybersecurity firm that helped to identify Hafnium.
Without the budget for cybersecurity, victims can always assume they are compromised — but that doesn’t equate to knowing what to do next. Patching the flaws is just one part of the recovery effort. Cleaning up after the hackers will be the most challenging part for smaller businesses that may lack the cybersecurity expertise.
It’s also a race against the clock to prevent other malicious hackers from discovering or using the same vulnerabilities to spread ransomware or launch destructive attacks. Both Red Canary and Huntress said they believe hacking groups beyond Hafnium are exploiting the same vulnerabilities. ESET said at least 10 groups were also exploiting the same server flaws.
Katie Nickels, director of intelligence at threat detection firm Red Canary, said there is “clearly widespread activity” exploiting these Exchange server vulnerabilities, but that the number of servers exploited further has been fewer.
“Cleaning up the initial web shells will be much easier for the average IT administrator than it would be to investigate follow-on activity,” said Nickels.
Microsoft has published guidance on what administrators can do, and CISA has both advice and a tool that helps to search server logs for evidence of a compromise. And in a rare statement, the White House’s National Security Council warned that patching alone “is not remediation,” and urged businesses to “take immediate measures.”
How that advice trickles down to smaller businesses will be watched carefully.
Cybersecurity expert Runa Sandvik said many victims, including the mom-and-pop shops, may not even know they are affected, and even if they realize they are, they’ll need step-by-step guidance on what to do next.
“Defending against a threat like this is one thing, but investigating a potential breach and evicting the actor is a larger challenge,” said Sandvik. “Companies have people who can install patches — that’s the first step — but figuring out if you’ve been breached requires time, tools and logs.”
Security experts say Hafnium primarily targets U.S. businesses, but that the attacks are global. Europe’s banking authority is one of the largest organizations to confirm its Exchange email servers were compromised by the attack.
Norway’s national security authority said that it has “already seen exploitation of these vulnerabilities” in the country and that it would scan for vulnerable servers across Norway’s internet space to notify their owners. Slovenia’s cybersecurity response unit, known as SI-CERT, said in a tweet that it too had notified potential victims in its internet space.
Sandvik said the U.S. government and private sector could do more to better coordinate the response, given the broad reach into U.S. businesses. CISA proposed new powers in 2019 to allow the agency to subpoena internet providers to identify the owners of vulnerable and unpatched systems. The agency just received those new powers in the government’s annual defense bill in December.
“Someone needs to own it,” said Sandvik.
Send tips securely over Signal and WhatsApp to +1 646-755-8849. You can also send files or documents using SecureDrop.
(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)
日本マイクロソフト - Official Home Page
マイクロソフトは、世界中のすべての人々とビジネスの持つ可能性を最大限に引き出すための支援をさせていただくことを使命として、Surface などのデバイスからクラウドサービスまで多種多様な製品・サービスの開発・提供により、様々な分野で事業を展開しています。
Microsoft アカウント | サインインするか、今すぐアカウントを ...
Sign In with your Microsoft account. One account. One place to manage it all. Welcome to your account dashboard.
Microsoft ダウンロード センター: Windows、Office、Xbox、そ …
· Microsoft 365 最新版のOffice アプリ、クラウド 追加ストレージ、高度なセキュリティなど 1 つのサブスクリプションでご利用いただけます。 今すぐ購入 マイクロソフトをフォローする 最新情報 Surface Laptop Go Surface Pro X Surface Go 2 ...
Microsoft サポート
Microsoft は、Office、Windows、Surface などの製品を支援するためにここにいます。記事、ビデオ、トレーニング、チュートリアルなどを検索します。
Microsoft Edge
Microsoft Azure Microsoft Dynamics 365 Microsoft 365 Microsoft Industry データ プラットフォーム Power Platform 法人向けを購入する Developer & IT .NET Visual Studio Windows Server Windows アプリの開発 ドキュメント Power Apps
マイクロソフト - Wikipedia
マイクロソフト(英: Microsoft Corporation )は、アメリカ合衆国 ワシントン州に本社を置く、ソフトウェアを開発、販売する会社である。 1975年にビル・ゲイツとポール・アレンによって創業された [注釈 1]。 1985年にパソコン用OSのWindowsを開発。
Office 365 login
Collaborate for free with online versions of Microsoft Word, PowerPoint, Excel, and OneNote. Save documents, spreadsheets, and presentations online, in OneDrive. Share them with others and work together at the same time.
適切なアプリが見つかります | Microsoft AppSource
Microsoft AppSource に関するサポートが必要ですか? 必要なヘルプをご提供します。ヘルプとサポートが必要な場合は、Microsoft サポートにお問い合わせください。 問い合わせ 最新情報 Surface Laptop Go Surface Pro X Surface Go 2 ...
Microsoft Update
このコンピュータに該当するオペレーティング システム、ソフトウェア、およびハードウェアで利用可能な最新の更新プログラムを入手できます。コンピュータの状態をチェックして、最適な更新プログラムを選択して提供します。
Microsoft Update を利用するには
この資料では、Microsoft Update を利用する方法について説明しています。