ベストプラクティスには、ユーザー認証とアクセスの強化、強力なネットワーク暗号化の確保、アプリケーションの攻撃対象領域の最小化が含まれています。
米国を含む3カ国のサイバー機関が、IT部門が依然として多く利用している老舗のオンプレミスメールサーバーであるMicrosoft Exchange Serverを保護するためのセキュリティベストプラクティスのリストを発表しました。
この勧告はオーストラリアとカナダも支持しており、タイミングも良いものです。攻撃者は依然としてExchange Serverの脆弱性を突いており、多くの攻撃が古い、または誤って構成されたインストールによって成功しています。例えば、ドイツの情報セキュリティ局は、同国のExchangeサーバーの10台中9台が依然として古いバージョンで稼働していると考えています。
ハイブリッドExchange環境も無傷ではありません。8月には、MicrosoftがオンプレミスとExchange Onlineの混在環境における重大な脆弱性(CVE-2025-53786)についてガイダンスを発表しました。これは、ローカルサーバーの管理者権限を持つ攻撃者が権限を昇格できるというものです。この勧告は4月にリリースされたホットフィックスの更新版です。
同じく8月、Positive Technologiesの研究者が、Exchangeの認証ページにキーロガーが注入されていることを警告しました。26カ国で約65件の被害が確認されています。
読者の中には、Exchange Serverへの大規模な攻撃が2021年1月に発生したことを覚えている方もいるでしょう。4つのゼロデイ脆弱性が、主にHafniumと呼ばれるグループによって悪用されました。ある推計では、米国で約3万社、全世界で25万社が影響を受けました。
オンプレミスExchangeは一部環境で依然として主流
多くのIT部門がクラウド型メールプロバイダーへ移行する中、予算の都合でレガシーインフラから移行できない、または自社管理によるセキュリティ向上を信じて、オンプレミスExchangeサーバーを維持している企業や政府機関も存在します。
しかし、保護されていない、または誤って構成されたExchangeサーバーを持つ組織は、脅威活動が続く中で依然として高いリスクにさらされています。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)はガイダンスの序文で、サポート終了バージョンを含む脆弱なExchangeサーバーが標的になっていると述べています。
ベストプラクティスには、ユーザー認証とアクセスの強化、強力なネットワーク暗号化の確保、アプリケーションの攻撃対象領域の最小化が含まれています。これらを適切に実施することで、サイバー脅威からのリスクを大幅に低減できるとCISAは述べています。
この文書は包括的なハードニングガイドではなく、侵害の監視やインシデント発生時の対応・復旧計画もExchange管理者が注力すべき重要な領域であるとCISAは指摘しています。
ロバート・ベッグス氏(カナダのインシデントレスポンス企業DigitalDefence代表)は、このベストプラクティスのガイダンスを「待望のもの」と評価しています。
Exchangeは「特に魅力的な標的」であり、保存されているメールには機密性の高い企業情報や個人情報、時にはパスワードまで含まれているにもかかわらず、同社がテストしたすべてのExchangeサーバーで「重大な設定ミス」が見つかったと述べています。
ベッグス氏はさらに、多くの場合、Exchangeサーバーにはインフラのセキュリティ制御や監視・ログ記録、エンドポイントセキュリティソリューション、さらにはウイルス対策ソフトさえ導入されていないことがあり、これはユーザーがメール配信業務に支障をきたすと考えているためだと指摘しています。
ガイダンスの内容
ガイダンスでは、管理者はオンプレミスExchangeサーバーを「差し迫った脅威下」にあるものと見なすべきであり、管理者向けの主要な実践事項を列挙しています:
- まず、「悪用に対する最も効果的な防御策は、すべてのExchangeサーバーが最新バージョンおよび累積的更新プログラム(CU)を適用していることを確認すること」と述べています;
- Microsoft Exchange Server Subscription Edition(SE)が唯一サポートされているオンプレミスバージョンであり、Microsoftは2025年10月14日に以前のバージョンのサポートを終了したことを指摘しています;
- Microsoftの緊急緩和サービスが暫定的な緩和策を提供できるよう、常に有効にしておくよう管理者に促しています;
- Exchange Server、メールクライアント、Windowsのセキュリティベースラインを確立するよう管理者に求めています。セキュリティベースラインを維持することで、準拠していないシステムや誤ったセキュリティ設定を特定でき、迅速な是正措置によって攻撃対象領域を減らすことができます;
- サードパーティのセキュリティソフトを使用していない場合は、Microsoft Defender Antivirusやその他のWindows機能などの組み込み保護を有効にするよう助言しています。WindowsのApplication Control(App Control for BusinessやAppLocker)は、実行可能コンテンツの実行を制御することでExchangeサーバーのセキュリティを強化する重要な機能です;
- 認可された専用の管理用ワークステーションのみが、リモートPowerShellを含むExchange管理環境へアクセスできるようにすることを管理者に促しています;
- 認証と暗号化を強化し、本人確認を確実に行うよう管理者に指示しています;
- 一貫したTLS設定とNTLM構成で拡張保護(EP)を設定することを推奨しています。これにより、複数のExchangeサーバー間でEPが正しく動作します;
- P2 FROMヘッダーのデフォルト設定が有効になっていることを確認し、ヘッダーの改ざんやなりすましを検出できるようにすることを助言しています;
- すべてのブラウザー接続をHTTPSで暗号化するよう、HTTP Strict Transport Security(HSTS)を有効にすることを推奨しています。
多くの構成オプションが存在するため、多くの組織にとってインストール時に最適なセキュリティ構成を選択するのは困難だとベッグス氏は認めています。さらに、Exchangeサーバーがクラウドでホストされ、サードパーティによって構成・管理される共有サービスモデルの場合、セキュリティ構成の責任が不明確になるため、状況はさらに複雑になります。
「Exchangeの安全な構成においてあまり認識されていない側面は、ベンダーからのパッチやアップグレードの適用によって、一部のセキュリティ設定がリセットまたは変更される可能性があることです」と同氏は指摘しています。ガイダンスは管理者に「セキュリティベースラインの適用」を促していますが、正しいセキュリティベースラインが適用されたかどうかを確認すべきだとベッグス氏は述べています。また、少なくとも四半期ごとに設定を見直すべきだと付け加えています。
ベッグス氏はさらに、このガイダンスは管理者に「Exchangeはサーバーであり、他のネットワーク上のサーバーと同じリスクとセキュリティ要件がある」と再認識させる文書であると述べています。「特にメールサーバーに通常存在するデータを考慮すると、すべてのデータに一貫してセキュリティを適用する必要があります」と語っています。
