TokyoBlackHatNews

bleepingcomputer.com 4分で読了

CISAとNSAがMicrosoft Exchangeサーバーのセキュリティ強化のためのヒントを共有

CISAとNSAがMicrosoft Exchangeサーバーのセキュリティ強化に関するヒントを共有

Microsoft Exchange

サイバーセキュリティ・インフラセキュリティ庁(CISA)と国家安全保障局(NSA)は、IT管理者が自社ネットワーク上のMicrosoft Exchangeサーバーを攻撃から守るためのガイダンスを公開しました。

推奨されるベストプラクティスには、ユーザー認証とアクセスの強化、アプリケーションの攻撃対象領域の最小化、強力なネットワーク暗号化の確保が含まれます。

また、両機関はネットワーク防御担当者に対し、Microsoft 365への移行後はサポート終了済みのオンプレミスまたはハイブリッドExchangeサーバーを廃止するよう勧告しています。最新の状態に保たれていない最後のExchangeサーバーを環境内に残しておくと、組織が攻撃にさらされ、セキュリティ侵害のリスクが大幅に高まる可能性があります。

さらに、CISAとNSAのガイドでは触れられていませんが、悪意のある活動や不審な活動の監視、インシデント発生時の対応計画や復旧計画の策定も、オンプレミスExchangeサーバーに関連するリスクを軽減する上で同様に重要です。

「管理者アクセスの制限、多要素認証の導入、厳格なトランスポートセキュリティ設定の適用、ゼロトラスト(ZT)セキュリティモデルの原則の採用により、組織は潜在的なサイバー攻撃に対する防御力を大幅に強化できます」と、両機関はオーストラリア・サイバーセキュリティセンター(ACSC)およびカナダ・サイバーセキュリティセンター(Cyber Centre)と共に木曜日に述べました

「また、特定のExchange Serverバージョンが最近サポート終了(EOL)となったため、作成機関は組織に対し、リスクを軽減し悪意ある活動を防ぐための積極的な対応を強く推奨します。」

CISA、NSAおよびそのパートナーは、ネットワーク防御担当者向けに、サーバーの最新状態維持、サポート終了バージョンからの移行、緊急緩和サービスの有効化、組み込みのアンチスパム・アンチマルウェア機能の有効化、管理者アクセスの許可されたワークステーションへの制限、Exchange ServerおよびWindowsシステムのセキュリティベースラインの実装など、十数項目以上の主要なセキュリティ推奨事項を共有しています。

また、認証の強化としてMFA(多要素認証)、Modern Authの有効化やOAuth 2.0の活用、認証プロセスの保護のためNTLMの代わりにKerberosやSMBの導入、データの完全性を守るためのトランスポートレイヤーセキュリティの設定、Adversary-in-the-Middle(AitM)、リレー、転送攻撃から守るための拡張保護の構成も推奨しています。

組織はまた、Exchange Management Shellでの証明書ベース署名の有効化や、HTTP Strict Transport Securityの実装による安全なブラウザ接続の確保も行うべきです。さらに、ロールベースアクセス制御によるユーザー・管理者権限の管理、ダウンロードドメインの設定によるクロスサイトリクエストフォージェリ攻撃の防止、送信者なりすまし防止のためのP2 FROMヘッダー操作試行の監視も推奨されています。

CISA Exchange advisory

本日の共同勧告は、CISAが2025年8月に発出した緊急指令(ED 25-02)に基づいており、連邦民間行政機関(FCEB)に対し、4日以内に高深刻度のMicrosoft Exchangeハイブリッド脆弱性(CVE-2025-53786)からシステムを保護するよう命じました。

当時Microsoftは、この脆弱性がMicrosoft Exchange Server 2016、2019、およびサブスクリプションエディションに影響し、攻撃者がオンプレミスのExchangeサーバーで管理者権限を取得すると、Microsoftクラウド環境へ横移動でき、ドメイン全体の乗っ取りにつながる可能性があると警告していました。

CISAが連邦機関にサーバーのパッチ適用を命じてから数日後、インターネット監視団体Shadowserverは、依然として29,000台以上のExchangeサーバーCVE-2025-53786の攻撃に対して脆弱なままであることを発見しました。

近年、国家支援や金銭目的のハッキンググループが複数のExchangeセキュリティ脆弱性を悪用してサーバーに侵入しており、たとえばProxyShellProxyLogonゼロデイ脆弱性などが含まれます。例えば、少なくとも10のハッキンググループが2021年3月にProxyLogonの脆弱性を悪用し、悪名高いSilk Typhoon(中国支援の脅威グループ)も含まれていました。

今週火曜日、ドイツ連邦当局のコンピュータ緊急対応チーム(CERT-Bund)も、ドイツ国内でオンラインに公開されている約33,000台のオンプレミスExchangeサーバーの92%がサポート終了バージョンで稼働していると警告しました。

翻訳元: https://www.bleepingcomputer.com/news/security/cisa-and-nsa-share-tips-on-securing-microsoft-exchange-servers/

ソース: bleepingcomputer.com
#Africa cybersecurity #CISA #CVE-2025-53786 #cybersecurity vulnerability #executive compensation #federal agencies #Microsoft Exchange #Multifactor Authentication #server hardening #Zero-Day Exploits

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用