ProxyNotShell:Exchangeサーバーの新たな脅威
セキュリティを高めたい
先生、『ProxyNotShell』ってなんですか? 情報セキュリティのニュースでよく見かけるんですけど、いまいちよく分からなくて…
情報セキュリティ専門家
『ProxyNotShell』は、特定の会社のメールソフトにあった弱点のことで、それを悪用されると、コンピュータを乗っ取られてしまう可能性があるんだよ。2022年に発見されて、大きな問題になったんだ。
セキュリティを高めたい
メールソフトの弱点だと、誰でも悪用できてしまうんですか?
情報セキュリティ専門家
誰でも、というわけではなくて、悪用するためには、まずそのコンピュータに不正に侵入する必要があるんだ。ただ、侵入されてしまうと簡単に悪用できてしまう点が問題だったんだ。だけど、もう修正プログラムが公開されているから、きちんと更新していれば心配ないよ。
ProxyNotShellとは。
「ProxyNotShell」という言葉を説明します。これは、2022年に見つかった、マイクロソフト社のメールサーバーソフト「Microsoft Exchange Server Online」の弱点のことです。この弱点は、特に「CVE-2022-41082」と「CVE-2022-41010」と呼ばれる二つの問題が組み合わさって起こります。特定の古いバージョンの「Exchange Server」では、この弱点をつかれてしまうと、不正なプログラムを実行され、サーバーを乗っ取られてしまう危険性があります。
この「ProxyNotShell」という名前は、2021年に見つかった「ProxyShell」という別の弱点と構造が似ていることから名付けられました。しかし、「ProxyShell」とは違い、「ProxyNotShell」を利用するためには、攻撃者はまずサーバーへの侵入を成功させる必要があります。
攻撃者は、「ProxyNotShell」を悪用して「China Chopper」と呼ばれる攻撃ツールをサーバー上で動かし、長期にわたってサーバーを支配下に置き、情報を盗み出していました。2022年11月、マイクロソフト社はこの弱点への対策プログラムを公開しました。その後、セキュリティの専門家によって、この弱点を突く攻撃の具体的な方法が公開されています。
ProxyNotShellとは
– ProxyNotShellとはProxyNotShellは、2022年に発見され、実際に悪用が確認された、Microsoft Exchange Server Onlineというメールサーバーソフトの脆弱性です。この脆弱性は、CVE-2022-41082とCVE-2022-41040という、異なる二つの脆弱性を巧みに組み合わせることで、攻撃者にシステムへの不正なアクセスを許してしまう危険性をはらんでいます。具体的には、特定のバージョンのExchange Serverにおけるプログラムの欠陥を突くことで、攻撃者はシステムに対する権限を不正に昇格させることが可能になります。そして、「PowerShell」と呼ばれる、本来はシステム管理者が使うことを想定した強力なコマンド実行機能を悪用できるようになってしまいます。さらに、この脆弱性を悪用されると、外部のネットワークから、攻撃者が用意した任意のプログラムをサーバー上で実行することも可能になってしまいます。ProxyNotShellという名称は、2021年に発見された「ProxyShell」という別の脆弱性と攻撃の手口や構造が似ていることから名付けられました。そのため、ProxyShellへの対策を講じていても、ProxyNotShellによる攻撃を防ぐことはできません。
項目 | 内容 |
---|---|
脆弱性名 | ProxyNotShell |
発見年 | 2022年 |
対象ソフトウェア | Microsoft Exchange Server Online |
CVE番号 | CVE-2022-41082 CVE-2022-41040 |
概要 | 2つの脆弱性を組み合わせることで、攻撃者にシステムへの不正なアクセスを許してしまう脆弱性。 プログラムの欠陥を突かれ、PowerShellが悪用される。 |
影響 | – システムに対する権限の不正昇格 – 任意のプログラムの実行 |
由来 | 2021年に発見されたProxyShellという脆弱性と攻撃の手口や構造が似ていることから名付けられた。 |
ProxyShellとの違い
– ProxyShellとの違いProxyNotShellは、ProxyShellという脆弱性と似ている部分が多い攻撃手法ですが、決定的な違いがあります。それは、攻撃者が組織のシステムに侵入するために、「認証」と呼ばれる、アクセス権を確認するプロセスを突破する必要があるという点です。ProxyShellの場合、この認証が不要でした。そのため、攻撃者は比較的簡単にシステムに侵入し、情報を盗み出したり、システムを乗っ取ったりすることが可能でした。しかし、ProxyNotShellでは、この認証が突破の壁となるため、攻撃の難易度が上がっています。とはいえ、ProxyNotShellが危険な脆弱性である変わりはありません。なぜなら、認証を突破する方法はいくつか存在し、経験豊富な攻撃者であれば、それらの方法を駆使してシステムへの侵入を試みる可能性があるからです。そのため、ProxyNotShellの脅威からシステムを守るためには、常に最新のセキュリティ対策を施し、攻撃者が認証を突破できないようにシステムを堅牢化しておくことが重要です。
項目 | ProxyShell | ProxyNotShell |
---|---|---|
認証の突破 | 不要 | 必要 |
攻撃の難易度 | 低い | 高い |
危険度 | 高い | 高い |
悪用の危険性
攻撃者は、ProxyNotShellという脆弱性を突くことで、China Chopperと呼ばれる悪意のあるプログラムを標的のシステムに埋め込むことが確認されています。China Chopperは、攻撃者が侵害したシステムを遠隔から操作するための道具であり、いわばシステムへの不正な裏口のようなものです。
この裏口を埋め込まれると、攻撃者は長期間にわたってシステムに侵入し、機密情報などを盗み出すことが可能になります。実際に、ProxyNotShellの悪用によって、多くの企業や組織が被害を受けており、その危険性の高さが浮き彫りとなっています。
そのため、ProxyNotShellの脆弱性に対する対策は急務であり、放置しておくと、企業や組織の存続をも脅かす深刻な事態に発展する可能性があります。
脆弱性 | 悪意のあるプログラム | 概要 | 危険性 |
---|---|---|---|
ProxyNotShell | China Chopper | 攻撃者が標的のシステムを遠隔から操作することを可能にする脆弱性。システムへの不正な裏口を埋め込む。 | 機密情報の盗難、長期間にわたるシステムへの侵入など、企業や組織の存続を脅かす深刻な事態に発展する可能性がある。 |
対策と対応
– 対策と対応2022年11月、マイクロソフト社はProxyNotShellと呼ばれる脆弱性への対策プログラムを公開しました。企業や組織でExchange Serverを利用している場合は、速やかにこの対策プログラムを適用し、システムを常に最新の状態に保つことが重要です。しかし、対策プログラムの適用のみでは万全とは言えません。より強固な安全対策として、外部からの不正なアクセスを遮断する仕組みや、コンピューターウイルスを検知・駆除する仕組みを導入することも有効です。これらの仕組みも常に最新の状態に更新する必要があります。さらに、組織内のネットワークと外部ネットワークの境界に設置する、ファイアウォールと呼ばれる仕組みの設定を見直すことも効果的です。ファイアウォールは、外部からの不正なアクセスを遮断する役割を担います。対策プログラム適用後も、新たな攻撃手法が発見される可能性は否定できません。そのため、常に最新の情報を入手し、状況に応じてセキュリティ対策を強化していく必要があります。特に、マイクロソフト社からの情報発信には注意を払い、提供される対策プログラムを迅速に適用することが重要です。
対策 | 説明 |
---|---|
対策プログラムの適用 | マイクロソフト社が提供する対策プログラムを速やかに適用し、システムを最新の状態に保つ。 |
外部からのアクセス遮断 | 不正なアクセスを遮断する仕組みを導入し、常に最新の状態に更新する。 |
ウイルス対策 | コンピューターウイルスを検知・駆除する仕組みを導入し、常に最新の状態に更新する。 |
ファイアウォールの見直し | 組織内ネットワークと外部ネットワークの境界に設置するファイアウォールの設定を見直し、外部からの不正なアクセスを遮断する。 |
情報収集とセキュリティ対策の強化 | 常に最新の情報を入手し、状況に応じてセキュリティ対策を強化していく。マイクロソフト社からの情報発信に注意し、提供される対策プログラムを迅速に適用する。 |
教訓と今後の展望
– 教訓と今後の展望
ProxyNotShellの事例は、私達に多くの教訓を与えてくれました。サイバー攻撃の手口は日々巧妙化しており、企業や組織は常に最新の防御態勢を構築し続ける必要性を改めて突きつけられました。
今回の事例で特に重要だったのは、脆弱性情報への迅速な対応です。脆弱性情報は日々公開されており、攻撃者は常にそれを悪用しようと虎視眈々と狙っています。そのため、企業は常に最新の情報を入手し、自社のシステムに影響がないかを確認する必要があります。もし、影響がある場合には、修正プログラムの適用や設定変更など、速やかに対策を講じることが重要です。
しかし、セキュリティ対策は一度実施すればそれで終わりというわけではありません。システムは常に変化していくため、定期的なセキュリティ診断や脆弱性診断を行い、安全性を継続的に確認することが重要です。また、従業員へのセキュリティ意識向上研修なども有効な手段と言えるでしょう。
ProxyNotShellの事例を教訓とし、我々は常にセキュリティに対する意識を高め、適切な対策を講じることで、より安全な情報環境を築き上げていく必要があるのです。
教訓 | 具体的な対策 |
---|---|
脆弱性情報への迅速な対応 | – 最新情報の入手 – 影響範囲の確認 – 修正プログラムの適用 – 設定変更 |
セキュリティ対策の継続的な実施 | – 定期的なセキュリティ診断 – 脆弱性診断 – 従業員へのセキュリティ意識向上研修 |