ドイツの情報セキュリティ局(BSI)は、マイクロソフトが2016年版および2019年版のサポートを打ち切ってから2週間が経過したにもかかわらず、国内のExchangeサーバーの92%が依然としてサポート終了ソフトウェアを稼働させていることを受け、警鐘を鳴らしています。
Windows 10のアップデート終了が多くの見出しを占める中、マイクロソフトによるExchangeおよびその他の2016年・2019年ブランド製品群のサポートも、予定通り1年前に告知された通り、10月14日に終了しました。
9月にもマイクロソフトから再度警告が出されていたにもかかわらず、BSIが把握しているドイツ国内の約33,000台の公開Exchangeサーバーの大多数が、依然としてOutlook Web Access 2019以前のバージョンを稼働させています。
これには、数千社の企業や病院・診療所、学校・大学、福祉機関、地方自治体などの公共機関も含まれます。
より詳細なセキュリティ勧告の中で、BSIは丁寧に、近年悪名高い事例としてExchange Serverのバグが深刻な被害をもたらしたことが何度もあったと指摘しています。
これら製品の保守を担当する技術チーム向けに書かれた文書では、もしこれらの重大な脆弱性が再び発見された場合、マイクロソフトはアップデートで修正できないことは明白だと述べています。
「影響を受けるExchangeサーバーは、侵害を防ぐために直ちにオフラインにする必要があるかもしれません。これにより、該当組織の通信機能が大幅に制限されることになります。
「フラットなネットワーク構造や不十分なセグメンテーション・強化のため、Exchangeサーバーが侵害されると、組織全体のネットワークが短期間で完全に侵害されることが多く、これにより機密情報の漏洩、ランサムウェアによるデータ暗号化と身代金要求、さらには数週間にわたる生産停止などが発生する可能性があります。」
マイクロソフトは、Exchange Serverの顧客向けに、期限後も6か月間のセキュリティアップデートを提供する拡張アップデートプログラム(7月に発表)を用意していますが、4月14日以降は顧客自身で対応する必要があり、BSIは早期の移行を強く求めています。
メッセージは、サポートされているサブスクリプションエディション(SE)へのアップグレード、もしくは代替ソリューションの導入のいずれかを選ぶこと。そして、Exchange Serverを直接インターネットに公開するのをやめ、信頼できるIPアドレスのみにアクセスを制限するか、VPNを利用して保護するよう勧告しています。
Exchange Serverのインスタンスにパッチが適用されないとどうなるか思い出したい場合は、2021年のProxyShellや、翌年のProxyNotShellの報道を振り返ってみてください。
The Regはまた、中国のSalt Typhoon/HafniumグループによるProxyLogonキャンペーンについても言及できます。これは関連性があるものの、4つのゼロデイが連鎖したケースであり、Exchangeの顧客はどのみち被害を免れませんでしたが、今やパッチが提供されているにもかかわらず、誰も気にしていないようです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/29/germany_exchange_support/
