OWAを狙う新たな脅威:OWASSRF攻撃とは
セキュリティを高めたい
先生、『OWASSRF』って、何だか怖い名前ですよね?どんなものか教えてください!
情報セキュリティ専門家
そうだね、『OWASSRF』は、悪意のある人がパソコンを乗っ取ってしまう攻撃に使われる方法の一つなんだ。簡単に言うと、Outlookというメールソフトの弱点をついた攻撃なんだよ。
セキュリティを高めたい
Outlookの弱点ですか?でも、Microsoftが修正したって聞いたことありますけど…
情報セキュリティ専門家
その通り!Microsoftは修正プログラムを公開してくれているんだけど、『OWASSRF』は、その修正をうまくすり抜けて攻撃する、ちょっとずる賢い方法なんだ。だから、常に最新の修正プログラムを適用することが大切なんだよ!
OWASSRFとは。
「OWASSRF」っていう言葉は、情報セキュリティの分野で使われるんだけど、これは「OWA」っていうのを悪用した「SSRF攻撃」の一種なんだ。「OWA」っていうのは「Outlook WebApplication」の略で、メールとか予定をウェブで使えるようにする仕組みのこと。「SSRF攻撃」っていうのは、簡単に言うと、本来アクセスしちゃいけない内部のシステムに、無理やりアクセスする攻撃のことね。
で、この「OWASSRF」っていう攻撃だけど、「CrowdStrike」っていうセキュリティ会社が、「Playランサムウェア」っていうコンピュータウイルスがこの攻撃方法を使って悪さをしてるのを発見して、注意を呼びかけているんだ。
「OWASSRF」が特に問題なのは、「ProxyNotShell」っていう「Exchange Server」の弱点を突いてくるからなんだ。「Exchange Server」っていうのは、マイクロソフトが提供しているメールサーバーのソフトウェアなんだけど、このソフトウェアに「ProxyNotShell」っていう弱点が見つかって、悪意のあるプログラムを実行できてしまう危険性があったんだ。マイクロソフトはこの弱点を修正したんだけど、「OWASSRF」はこの修正をすり抜ける方法を見つけ出してしまったんだ。
「Playランサムウェア」はこれまで、「Autodiscover」っていう機能を悪用して、外部からコンピュータを操作できるようにしていたんだけど、最近は「OWA」を悪用して、「PowerShell」っていうWindowsの機能を使って、外部からコンピュータを操作するようになってきているんだって。「PowerShell」は本来、システム管理者が使うための便利な機能なんだけど、悪用されるとコンピュータを乗っ取られてしまう危険性もあるんだ。
この「OWASSRF」っていう攻撃方法は、「CVE-2022-41080」っていう別の「Exchange Server」の弱点とも関係があると考えられていて、2022年11月に公開されたアップデートを適用することが対策として有効だとされているよ。
OWASSRF攻撃の概要
OWASSRF攻撃は、メールやスケジュール管理を行うソフトウェアであるMicrosoft Exchange Serverのウェブメール機能、Outlook Web Application(OWA)の弱点をついた攻撃手法です。
この攻撃は、サーバーに悪意のある指示を送り込ませることで、本来アクセスできないはずの情報に不正にアクセスしたり、システムを乗っ取ったりする、サーバーサイドリクエストフォージェリ(SSRF)攻撃の一種です。
OWASSRF攻撃が特に危険視されている点は、Microsoftが2022年11月に公開したセキュリティ対策をすり抜けてしまうことです。
2022年、Exchange Serverの脆弱性「ProxyNotShell」(CVE-2022-41040およびCVE-2022-41082)が発見され、悪用されるとシステムを完全に支配下に置かれてしまう危険性がありました。
Microsoftは修正プログラムを公開し、多くの利用者が対策を施しましたが、OWASSRF攻撃は、この修正プログラムを無効化し、ProxyNotShellと同様の危険をもたらす可能性があることが分かっています。
そのため、既にProxyNotShellへの対策済みであっても、OWASSRF攻撃への対策が必須となります。
攻撃手法 | 概要 | 危険性 | 対策の必要性 |
---|---|---|---|
OWASSRF攻撃 | Microsoft Exchange ServerのOutlook Web Application(OWA)の脆弱性を突いたSSRF攻撃の一種。悪意のある指示をサーバーに送り込み、不正アクセスやシステム乗っ取りを行う。 | 2022年11月のMicrosoftのセキュリティ対策をすり抜け、ProxyNotShell脆弱性(CVE-2022-41040、CVE-2022-41082)と同様の危険をもたらす可能性がある。 | ProxyNotShellへの対策済みであっても、OWASSRF攻撃への対策が必須。 |
Playランサムウェアとの関連性
セキュリティ対策を専門とする会社であるCrowdStrike社の発表によると、OWASSRF攻撃はPlayランサムウェアという悪意のあるプログラムによって悪用されていることが分かりました。Playランサムウェアは、これまでExchange Serverというメールサーバーの自動検出機能を悪用して攻撃を仕掛けていました。しかし、OWASSRF攻撃では、OWAというWeb上でメールの送受信などを行うための機能を悪用し、PowerShellというWindowsの機能を使って、遠隔からコンピュータを操作できるようにしています。
このPlayランサムウェアの進化により、攻撃者はより巧みに組織のシステムに侵入することができるようになりました。そして、重要な情報を盗み出したり、お金を要求したりすることが容易になってしまいます。
このため、企業はOWASSRF攻撃に対する対策を強化することが重要です。具体的には、OWAのアクセス制御を厳格化することや、最新のセキュリティ更新プログラムを適用することなどが有効な対策として挙げられます。
項目 | 内容 |
---|---|
攻撃の手法 | OWASSRF攻撃 |
悪用されるプログラム | Playランサムウェア |
Playランサムウェアのこれまでの攻撃手法 | Exchange Serverの自動検出機能の悪用 |
OWASSRF攻撃の詳細 | OWA(Web上でメールの送受信などを行うための機能)を悪用し、PowerShell(Windowsの機能)を使って、遠隔からコンピュータを操作する |
攻撃によるリスク | – 組織のシステムへの侵入 – 情報の窃取 – 金銭の要求 |
対策 | – OWAのアクセス制御の厳格化 – 最新のセキュリティ更新プログラムの適用 |
OWASSRF攻撃への対策
OWASSRF攻撃は、ウェブアプリケーションの脆弱性を突いて、本来アクセスできないはずの内部システムやリソースにアクセスしようとする、危険なサイバー攻撃の一つです。この攻撃からシステムを保護するためには、多層的な対策を講じることが重要となります。
まず、システムの脆弱性を解消することが大前提です。マイクロソフト社が2022年11月に公開したExchange Serverのアップデートは、OWASSRF攻撃に悪用される可能性のあるCVE-2022-41080と呼ばれる脆弱性への対策を含んでいます。
システムを常に最新の状態に保つことは、セキュリティ対策の基本であり、攻撃のリスクを大幅に減らすために不可欠です。このアップデートを適用することで、脆弱性を突いた攻撃を防ぐことができます。
さらに、セキュリティ対策ソフトを導入し、常に最新の状態に更新しておくことも有効な対策となります。セキュリティ対策ソフトは、怪しいアクセスを検知し、ブロックする役割を担います。
常に最新の攻撃手法に対応できるように、セキュリティ対策ソフトの更新は欠かさず行いましょう。これらの対策と並行して、ファイアウォールの設定を見直し、外部からの不正なアクセスを遮断することも重要です。
OWASSRF攻撃は、その手法の巧妙さから、完全に防ぐことは難しい攻撃ですが、これらの対策を組み合わせることで、被害を最小限に抑えることが可能になります。
対策 | 詳細 |
---|---|
システムの脆弱性解消 | マイクロソフト社が2022年11月に公開したExchange Serverのアップデートを適用し、CVE-2022-41080の脆弱性を解消する。 |
セキュリティ対策ソフトの導入と更新 | 怪しいアクセスを検知し、ブロックするために、セキュリティ対策ソフトを導入し、常に最新の状態に更新する。 |
ファイアウォールの設定見直し | 外部からの不正なアクセスを遮断するために、ファイアウォールの設定を見直す。 |
組織におけるセキュリティ対策の重要性
現代社会において、企業や団体にとって情報は最も重要な資産の一つと言えるでしょう。顧客情報や財務データ、企業秘密など、その情報は多岐に渡り、これらの情報が不正アクセスや情報漏えいといったセキュリティ事故に遭えば、企業は信用を失墜し、甚大な経済的損失を被る可能性があります。
近年、OWASSRF攻撃など、巧妙化するサイバー攻撃の脅威が増大しています。OWASSRF攻撃は、メールサーバの脆弱性を突いて、外部から不正な操作を許してしまう危険な攻撃です。このような攻撃から組織を守るためには、常に最新のセキュリティ脅威に関する情報を収集し、状況の変化に応じて、適切な対策を講じることが不可欠です。
具体的には、システムに潜む脆弱性を定期的に検査し、発見された脆弱性に対しては、速やかに修正プログラムを適用することが重要です。また、パスワードの使い回しを防ぐため、複数の認証要素を組み合わせる多要素認証の導入も有効な手段です。
さらに、従業員一人ひとりがセキュリティの重要性を認識し、適切な行動をとることが重要です。そのため、セキュリティ意識向上のための訓練を定期的に実施し、従業員が最新の脅威や対策方法について常に最新の情報を得られるようにする必要があります。
これらの対策を総合的に実施することで、OWASSRF攻撃をはじめとする様々なサイバー攻撃から組織の重要な情報資産を守り、安全な事業活動を継続することが可能となります。
脅威 | 対策 |
---|---|
情報漏えい、不正アクセス、サイバー攻撃(OWASSRF攻撃など) |
|