Microsoft と CISA が管理者に対し、高深刻度の脆弱性への迅速な対応を呼びかけ
ハイブリッド Exchange Server 環境を運用している管理者に対し、Microsoft と米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、高深刻度の脆弱性を迅速に修正するよう強く促しています。対応しない場合、システムが侵害されるリスクがあります。
ハイブリッド Exchange の導入により、組織はオンプレミス版 Exchange のユーザー機能や管理コントロールを Microsoft 365 内で拡張できます。ハイブリッド導入は、完全に Exchange Online 組織へ移行するための中間ステップとしても機能すると Microsoft は説明しています。
その利点には、オンプレミスと Exchange Online 組織間の安全なメールルーティング、共有ドメインネームスペース(例:オンプレミスと Exchange Online の両組織が @contoso.com SMTP ドメインを使用)によるメールルーティング、そしてオンプレミスと Exchange Online 組織間のカレンダー共有などがあります。
この脆弱性を悪用するには、攻撃者がまずオンプレミスの Exchange サーバーへの管理者アクセス権を取得する必要があります。しかし、その後は、組織の接続されたクラウド環境内で権限昇格が可能となり、容易に検出・監査できる痕跡を残さずに攻撃を行える可能性があると、Microsoft はセキュリティアップデートで警告しています。
「このリスクは、ハイブリッド構成において Exchange Server と Exchange Online が同じサービスプリンシパルを共有していることに起因します」とアップデートで説明されています。サービスプリンシパルとは、アプリケーションのアクセスやリソース制御のために使用される ID です。
このハイブリッド環境を保護するため、管理者は以下を実施してください:
- まだ実施していない場合は、2025年4月18日にリリースされたHot Fixまたはそれ以降のリリースをオンプレミスの Exchange サーバーにインストールし、専用 Exchange ハイブリッドアプリの展開ドキュメントに記載された構成手順に従ってください。詳細については、ハイブリッド導入向け Exchange Server セキュリティ変更も参照してください;
- 次に、サービスプリンシパルの keyCredentials をリセットしてください。これは、以前に Exchange ハイブリッドやExchange Server と Exchange Online 組織間の OAuth 認証を構成していて、現在は使用していない場合でも実施が必要です;
- その後、Microsoft Exchange Health Checkerを実行し、追加の対応が必要かどうかを確認してください。
CISA もまた強く推奨していますが、サポート終了(EOL)またはサービス終了となった Exchange Server や SharePoint Server のパブリック向けバージョンはインターネットから切断してください。たとえば、SharePoint Server 2013 以前のバージョンは EOL となっており、まだ使用している場合は切断が必要です。
SANS Institute の研究部長であるJohannes Ullrich氏は、この問題はハイブリッドモードでオンプレミス Exchange を運用している組織のみに影響すると指摘しています。「過去の脆弱性や Microsoft の継続的なガイダンスにより、多くの組織がオンプレミス Exchange をやめ、クラウドソリューションへ移行しています」と彼は CSO へのメールで述べています。「オンプレミスで Exchange を運用している組織はますます減少しています。」
この脆弱性を悪用するには、まず攻撃者がオンプレミス Exchange サーバーの管理者権限を取得する必要があると彼は付け加えています。「攻撃者が管理者権限を持つこと自体が常に危険であり、この脆弱性がリスクを大きく高めるとは思いません」と彼は述べています。「組織のクラウド環境へピボットしやすくなりますが、忍耐強い攻撃者であれば Exchange トラフィックを観察するだけでアクセスに必要な情報を得ることも可能です。」
彼が付け加えた全体的な教訓は、オンプレミス Exchange からの移行です。「この製品はますます維持が困難になっています」と彼は主張し、「Microsoft のクラウドソリューションは十分な代替手段です。この脆弱性はリスクを大きく増加させるものではなく、緊急事態として扱う必要はありません。Exchange のパッチ適用や適切な構成は容易ではなく、慎重なテストが必要です。」
この脆弱性(CVE-2025-53786)は、Microsoft が2025年4月18日にリリースしたハイブリッド導入向け Exchange Server セキュリティ変更および同時に提供された非セキュリティ HotFix に起因しています。これらはハイブリッド Exchange 導入のセキュリティ向上を目的としていました。
その後の調査で、Microsoft は4月の発表で示されたガイダンスや構成手順に関連する具体的なセキュリティ上の影響を特定したと述べています。また、オランダの研究者で Outsider Security の責任者であるDirk-jan Mollema氏の尽力にも謝意を示しています。
ニュースレターを購読する
編集部からあなたの受信箱へ直送
下記にメールアドレスを入力してご登録ください。