Mohd Izzuan Roslan(Alamy ストックフォト経由)
Microsoft Exchangeは非常に人気の高い脅威の標的であり、テクノロジー大手が2024年10月にExchange 2016および2019のサポートを終了する決定により、その危険性はさらに増大します。これにより、これらのメールサーバーは必要不可欠でしばしば重要な更新や脆弱性修正を受けられなくなり、企業は危険にさらされます。
Microsoft Exchangeは、非常に機密性が高く価値のある情報を含む広大な攻撃対象領域を持っていますが、セキュリティ上の問題は依然として多く報告されています。2023年、サイバーセーフティ審査委員会(CSRB)は、中国のサイバー犯罪グループStorm-0558が米国政府関係者のメールアカウントに不正アクセスした事件を受けて、Microsoftのセキュリティ慣行を調査しました。CSRBは「Storm-0558が成功したのは、Microsoftにおける一連のセキュリティ失敗が原因だった」と結論付けました。
この事件と勧告を受けて、Microsoftはセキュリティ文化の改善に取り組みました。しかし、Exchangeに対する攻撃は依然として続いています。状況は非常に深刻化しており、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)と国家安全保障局(NSA)は、リスク軽減のために企業が従うべきMicrosoft Exchangeのベストプラクティスを公開しました。
「Exchange環境は継続的に侵害の標的となっており、差し迫った脅威下にあると考えるべきだ」とCISAは警告しており、サポート終了(EOL)サーバーはリスクをさらに拡大させると付け加えています。
Exchangeをインターネットに公開したままにしないでください
ベストプラクティスのガイドラインは、CISAが8月に発表した緊急指令(ED)に続くもので、連邦機関に対し、CVE-2025-53786として追跡される認証後の脆弱性を緩和することを義務付けました。このEDは、この脆弱性がMicrosoft Exchangeのハイブリッド構成を使用するすべての組織に「重大なリスク」をもたらすと述べています。
継続する脅威を抑えるために、組織は内部のライフサイクル管理を行い、ソフトウェアライブラリを最新の状態に保つべきだと、CISAのサイバーセキュリティ担当副局長Nick Andersenは推奨しています。彼は、組織が固定された終了日を持たないExchange Server Subscription Editionへの移行を促しました。どうしてもEOLのExchangeサーバーを使う必要がある場合は、インターネットに公開しないようにとAndersenは助言しています。
「これらのベストプラクティスの要素は、設計段階からのセキュリティ原則であり、エコシステム全体で広く採用されるべきです」とAndersenは記者会見で述べました。
「より良い選択肢が存在します」
しかし、オンプレミスのMicrosoft Exchangeに対してセキュリティのベストプラクティスを実施するだけでは十分ではないかもしれません。企業はメールサーバー自体を手放す時期だと、Coalitionが公開したブログ記事は述べています。保険会社は、組織に「自動で更新される安全なクラウドまたはホステッド型メールソリューションへの移行」を促しています。
かつては、特に中小企業(SMB)にとって、エンタープライズグレードのメールサービスをより管理しやすい規模で利用できるという利点がありましたが、今ではネットワーク上の危険要素となっています。リスクは製造、医療、金融サービス、政府、小売、エネルギー、教育など多くの分野に及びます。
これらの業界は、システムの相互接続性、価値あるデータ、重要インフラとの関係性から、攻撃者にとって高価値の標的となっていると、CoalitionのセキュリティサポートセンターリーダーRyan Gregoryは説明します。Exchangeの問題は、最初のProxyShell侵害以降、ますます複雑化しており、企業はメールサーバーの自社運用から離れるべきだと彼は助言しています。
「ホステッド型メールソリューションの普及により、より良い選択肢が存在します」とGregoryはDark Readingに語ります。「どの業界や分野のビジネスオーナーも、Exchangeの継続利用がもたらす影響を考慮すべきです。」
Exchangeのリスクは企業にどのような影響を与えるか
影響には、資金移転詐欺やビジネスメール詐欺(BEC)が含まれます。Exchangeは単なるコミュニケーションツールではなく、企業、その顧客、従業員に関する価値ある情報やデータの宝庫であるためだとGregoryは述べています。
ビジネス中断もExchange利用に起因する潜在的リスクの一つです。累積的な更新が自動で行われないため、企業はタイムリーなパッチ管理プロトコルの実施に苦労し続けており、状況は容易ではありません。
つまり、インターネット障害、オンプレミスのデータベースエラー、ハードウェア故障、または攻撃者がゼロデイ脆弱性や既知の脆弱性を悪用することで、企業の収益、販売、支払い、その他の重要なコミュニケーションに影響が及ぶ可能性があります。
「Exchange管理者が累積的な更新をただ待っていればよかった時代は終わりました」とGregoryは言います。「これは、オンプレミスExchangeの管理者が、過去20年間よりも短いサイクルでパッチ適用時のダウンタイムやロールバックに対応しなければならないことを意味します。」
Microsoftはもっとできることがあるか?
Microsoftが10年前にすべてをサブスクリプションモデルに移行し始めて以来、IT管理者はコスト変化が今後の計画に含まれていることを認識していたとGregoryは説明します。現在もオンプレミスで運用している企業は、最後の遅れ組か、既存インフラに大きく投資している大規模組織だと彼は付け加えます。
企業がMicrosoft Exchangeオンプレミスからの移行に関する勧告や通知を真剣に受け止めているように見えても、課題はまだ終わっていません。Coalitionは、より多くの企業がリスク軽減のために安全なクラウドやホステッド型メールソリューションへのアップデートを推奨しています。
Coalitionのブログ記事とCISAの勧告は、攻撃者がExchangeの脆弱性を頻繁に標的・悪用していることを改めて強調しました。あるレポートによれば、「オンプレミスExchangeのログインページが公開されている企業は、サイバーインシデントを経験する可能性が4倍高い」とCoalitionは指摘しています。
CISAは組織にExchangeインスタンスのセキュリティ強化を求めていますが、Microsoftにも支援できることがあります。たとえば、Exchange移行を行うプロバイダー向けのバウンティプログラムを継続すべきだとGregoryは提案しています。
「理想的には、Exchange Onlineの初回利用者向け割引を提供すべきです」と彼は言います。「義務ではありませんが、MicrosoftはExchange SEのリリースと旧バージョンのEOLまでの短期間を考慮し、来年までEOLバージョンのExchangeに対するすべてのCVEのセキュリティアップデートを継続提供すべきです。」
翻訳元: https://www.darkreading.com/cyber-risk/microsoft-exchange-under-imminent-threat-act-now
