2020年3月に報告されたMicrosoft Exchangeのハッキングは、最近多く見られるサイバースパイグループによるMicrosoftに対する攻撃の1つに過ぎません。2020年12月のSolarWindsのハッキングでは十分に明らかになっていなかったとしても、この最新のハッキングから、Microsoftが世界で最大かつ最も収益性の高いハッキングの標的の1つであることが分かります。
Exchangeのハッキングの進化
2021年3月2日、Microsoftは、Exchange Serverに影響を与える複数の脆弱性を発表し、全バージョンのパッチをリリースしました。今にしてみると、Exchangeサーバーへの攻撃は1月に始まっており、おそらくMicrosoftのサイバーセキュリティベンダーやパートナーと共有された概念実証コードが漏洩したことによって、ハッカーたちの方が先に脆弱性についての情報を得ていたという憶測が飛び交いました。
被害者のExchange Serverにアクセスしたハッカーは、ハッキングされたシステムへのリモートアクセスを提供するWebシェルをインストールしました。無制限のアクセスと自由に出入りできる抜け道を手にしたハッカーは、思いのままにメールデータをダウンロードして、ハッキングしたシステムにランサムウェアをインストールすることができるようになりました。
パッチの適用が奨励されていますが、ダメージを元に戻すことはできません。Microsoftはその後、管理者が侵害されたシステムをすばやく特定するのに役立つワンクリックのExchange緩和ツールをリリースしましたが、多くの企業にとって、この支援はすでに手遅れでした。
最初のハッキングが中国のAdvanced Persistent Threat(APT)グループであるHafniumによるものだとされると、他のグループは、システムにまだパッチを適用していない企業を悪用しようと躍起になりました。現時点で最高で米国の3万社の顧客と世界中の25万社の顧客が被害を受けています。
次の動向は?
最大規模の攻撃からの著しい変化の中で、Exchangeのハッキングは主に中小企業に影響を及ぼしました。これらの企業は、Microsoft 365に移行した大企業とは異なり、クラウドへの移行が遅れています。「小規模」が重要ではないことを意味するわけではないことに注意してください。防衛関連企業は小規模企業であり、 市政府も小規模組織です。それらの企業の顧客、連絡先、およびベンダーも現在同じように危険に晒されています。
ハッキングされた組織は、侵害された直後にランサムウェア攻撃に見舞われましたが、メールによる他の攻撃が続く可能性があります。ハッカーは、メールアドレスと連絡先リストにアクセスできるため、メールアドレスが漏洩した個人に対して、組織内外でフィッシングやスピアフィッシング攻撃を仕掛けることができます。
Exchangeのハッキングと相まって、オンプレミスサーバーとディザスタリカバリ計画を管理するための費用と課題は、近い将来に中小企業がMicrosoft 365へ移行する可能性を示しています。すでにずいぶん前から、その傾向が見受けられます。初期費用が低く、ITリソース要件が限られていてスケーラビリティが高いMicrosoft 365は、ITが皆無あるいはそれに等しい中小企業に最適なソリューションです。
実際にサイバーセキュリティ分野の多くが、最近の攻撃を踏まえて、そのような移行を推奨しています。ただし、Exchangeハッキングはオンプレミスサーバーのみを攻撃した可能性がありますが、だからと言って、クラウドメールが影響を受けないわけではありません。ハッカーはサーバーには興味がありません。彼らはMicrosoftに興味を持っているのです。
頂点に立つMicrosoftの孤独
2018年に、Microsoftはフィッシング攻撃で最もなりすましの多いブランドになりました。しかも、3年連続で首位に立っているのが特徴です。Microsoftのフィッシングが急増する前は、PayPalが最も多くなりすましの被害を受けていました。PayPalからMicrosoftへの移行は、ハッカーの戦術の変化を示しました。つまり、消費者のフィッシングから得られる迅速な報酬よりも企業データに長期的な価値があることを認識したのです。
今日Microsoftは、法人のMicrosoft 365ユーザーだけでも2億5800万社を抱え、メールおよびオフィス生産性スイート市場をリードしています。Microsoft 365の使用が増えるにつれ、Microsoftに対する攻撃はペースを維持しています。SharePointとOneDriveでホストされているデータの宝庫を手に入れたサイバー犯罪者の可能性は無限大に広がり、彼らはそれらを悪用しています。
1つのMicrosoftアカウントをフィッシングメールで侵害することで、ハッカーには侵害が検出される前に莫大な損害を与えるチャンスがあります。最近の報告によると、Microsoft 365ユーザーの71%が昨年アカウントの乗っ取りを経験し、悪用されたアカウントの96%がラテラルムーブメントを経験しました。
Microsoft 365内のラテラル攻撃には、侵害されたMicrosoft365の認証情報を使ったフィッシングおよびスピアフィッシング攻撃が含まれることがあります。フィッシングは認証情報の窃盗に最も一般的に関連のある攻撃ですが、それと同時に、他の配信方法と比較してフィッシングキャンペーンの作成が比較的に簡単で低コストであるため、ランサムウェアの主要な配信方法の1つにもなっています。
新型コロナウィルス(COVID-19)と世界的なリモートワークへの転換のおかげで、Microsoftの優位性は2020年に新たな高みに到達しました。しかし、トップに立つことには欠点があります。人気が高まったことで、Microsoftはかなり大きな標的になりました。しかも、大きな標的を射止めるために高度なスキルは必要ありません。多くのMSPが気づいたように、Microsoftに組み込まれているセキュリティは、攻撃を防御するのに十分ではありません。Microsoft 365を強化するために、MSPはサイバーセキュリティへの階層化されたゼロトラストアプローチを追求する必要があります。
