中国のハッカーがMicrosoft Exchangeの欠陥を利用して通話記録を盗むとされています
3月初旬、Microsoftは、同社のMicrosoft Exchangeソフトウェアの欠陥が、Hafniumとして知られる中国のハッキンググループによって悪用されていることを明らかにしました。このグループは、いくつかの組織に対して標的型攻撃を行っていたことが明らかにされました。これには、法律事務所、防衛請負業者、NGO、さらには感染症研究者まで含まれます。標的とされた脆弱なシステムには、これらの組織が使用するメールプラットフォームが含まれます。
攻撃が発生すると、ハッカーはウェブシェルとして知られるツールを残します。ウェブシェルは、インターネット上で簡単にアクセスできる最も保護されたハッキングツールの一つです。これにより、パッチが当てられていないExchangeサーバーが最も脆弱になります。これは、ウェブシェルがハッカーに被害者のコンピュータへの無制限のリモートアクセスを提供するためです。何十万台ものMicrosoft Exchangeサーバーがこの方法で侵害されたとの報告が出ています。侵害された各サーバーは、Exchangeをその管理セットアップの一部として使用している組織を代表しています。
ハフニウムは、東南アジアの通信会社に対する一連の攻撃でも非難されています。この場合、ハッカーは2020年後半から、Microsoft Exchangeのハックが発見される前に、名前のない会社から通話記録を狙い、盗みました。
このハッキンググループは2017年から活動しており、ずっと検出を回避してきました。2019年の報告書では、このグループがアフリカ、中東、ヨーロッパ、アジアの10の通信会社のセキュリティを侵害したことが明らかにされました。現在、このグループは中国と関連のある他の2つのハッキングチームと合流し、同様の攻撃を行っています。
## 発見
サイバーセキュリティ会社のVolexityが最初にその侵害を検出したとされています。同社は2021年初頭にMicrosoft Exchangeのサーバーから大量のデータ転送が行われていることに気づきました。残念ながら、これは世界がアメリカ合衆国のキャピトル暴動に気を取られていた期間内でした。Volexityの社長であるSteven Adairは、ハッカーは今後数ヶ月で行動を加速させる可能性が最も高いと述べました。Microsoftが提供したセキュリティアップグレードをシステムに適用し、必要な変更を行うことができない組織は、最も脆弱になるでしょう。
「今がどんなに悪い状況でも、これからもっと悪くなると思います」とアデアは言いました。「これによって、何かを悪用するための限られた機会が彼らに与えられます。バックドアを残していたら、パッチがそれを修正することはありません。」
## マイクロソフトの対応
迅速な対応として、3月2日にMicrosoftは、ハッカーが悪用していたExchangeサーバーの2013年から2019年のバージョンの脆弱性に対処するためのセキュリティ更新をリリースしました。
会社はさらに、アメリカ合衆国のサイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)と協力して、顧客に今後の方針についてのガイダンスを提供していると述べました。 「最善の保護策は、影響を受けるすべてのシステムに対してできるだけ早くアップデートを適用することです」と会社のスポークスパーソンは述べました。
Microsoftは、Exchange Online Serviceを使用している顧客には影響がなかったと付け加えました。それにもかかわらず、侵害されたほとんどの組織が、内部のExchangeサーバーに加えて、何らかの形のMicrosoft Outlook Web Access(OWA)を使用していたことは確かです。
## 中国へのリンク
7月、ホワイトハウスは正式に中国を非難し、Microsoft Exchangeの欠陥を悪用して攻撃を行ったと述べました。アメリカ合衆国は声明を発表し、中国当局に対して「国際関係の規範を遵守し、その領土が悪意のあるサイバー活動に利用されることがないようにし、状況を検出、調査、対処するために適切かつ実現可能なすべての措置を講じるよう」求めました。
Cybereasonというサイバーテクノロジー会社のターゲットリサーチ責任者であるアサフ・ダハンは、ハッカーの中国との関連を確立しました。ダハンによると、攻撃の性質と戦術やターゲットの重複は、ハッカーが同じ起源 – 中国政府を持っていることを示唆しています。さらに、ターゲットはすべて中国当局にとって興味のあるもので、最も重要なのは政治的な反体制派です。
しかし、攻撃を中国に直接結びつける具体的な方法はありません。これは、通信事業者への攻撃を特定の個人や政府に追跡することが難しいためです。攻撃が個人を対象としている場合、例えばスパイウェアが被害者のデバイスに埋め込まれている場合などは、追跡がはるかに簡単です。通信プロバイダーを狙うことには別の利点もあります:それは最終的なターゲットの身元をぼかします。通信事業者のユーザーは、複数の国々にわたる大規模な個人のプールから来ています。特定の最終ユーザーがターゲットにされていないため、法執行機関は攻撃を検出したり防ぐことが難しくなります。
ダハンによると、Microsoft Exchangeの攻撃の主な対象は東南アジアの国々でしたが、他の地域の人々も標的にされていた可能性があります。
トップレベルのセキュリティ専門家は、中国からの攻撃の性質について、それが当惑するものであったと述べました。そのセキュリティ専門家は、その行動が無謀であり、中国の特性から外れていると明かしました。
中国当局は予想通り、攻撃の責任を否定した。