マイクロソフトサーバーへのサイバー攻撃は、1人のアクターによって実行されたとされています、何千もの企業が現在脆弱です

ジャカルタ - 何千もの政府機関や企業が文書を共有するために使用しているMicrosoftのサーバーソフトウェアである SharePointに対する世界的な攻撃は、単一のアクターまたはグループによって実行される可能性があります。これは、7月21日月曜日にサイバーセキュリティ研究者によって述べられました。

マイクロソフトは7月19日土曜日、組織内で使用されている SharePointサーバーに「積極的な攻撃」に関する警告を発しました。同社は、クラウドベースのMicrosoft 365の SharePoint Onlineは、サイバーセキュリティ研究者には知られていなかったため、「ゼロデー」として知られるこのエクスプロイトの影響を受けなかったと述べた。

「さまざまな攻撃で見られる技術の一貫性に基づいて、金曜日に始まったキャンペーンは1人の加害者によって実行されたようです。しかし、これは急速に変化する可能性があります」と、英国のサイバーセキュリティ企業であるソフォスの脅威インテリジェンスディレクター、ラフェ・ピリング氏は述べています。この手法には、複数のターゲットに同じデジタルペイロードを配信することが含まれている、とPilling氏は付け加えた。

「Microsoftはセキュリティアップデートを提供し、顧客にインストールすることを奨励している」と同社の広報担当者は、VOIがロイター通信から引用した電子メールによる声明で述べた。

この進行中の攻撃の背後に誰がいたのかはまだ明らかではない。FBIは7月20日(日)、攻撃を認識しており、連邦パートナーや民間部門と協力していると述べたが、それ以上の詳細は明らかにしなかった。

インターネットに接続されたデバイスの識別に役立つ検索エンジンであるShukanのデータによると、8,000を超えるオンラインサーバーがハッカーによって侵害された可能性があります。サーバーには、大手工業企業、銀行、監査会社、医療会社、および米国および国際レベルの州および政府機関が含まれます。

「 SharePointのインシデントは、世界中のさまざまなサーバーで広範なレベルの妥協を生み出したようです」と、英国のサイバーセキュリティコンサルタントPwnDefendのDaniel Card氏は述べています。「侵害を前提に近づくことは賢明なステップであり、パッチ適用だけでは不十分であることを理解することが重要です。

共有ポイント攻撃が大きな問題

この攻撃は、7月18日にアイセキュリティによって最初に検出され、共有ポイントサーバーでリモートコード実行が検出されました。この攻撃は、5月のPwn2Ownハッキングコンテストで見つかった2つのバグを利用しました。このバグを使用すると、攻撃者は認証を必要とせずに共有ポイントサーバーにアクセスでき、Tツールシェルという名前でCVE番号が付けられます。

マイクロソフトは、 SharePoint 2019 および SharePoint サブスクリプションエディションのパッチ適用により、この問題の一部に取り組んでおり、 SharePoint 2019 および 2016 のさらなるセキュリティ更新に取り組んでいます。

Macユーザーが自分自身を守る方法

この攻撃は個々のシステムではなく、企業のサーバーを標的としているため、Mac ユーザーや他のコンピューターは、個々のシステムが直接影響を受けることは見つかりません。ただし、使用するサーバーに関する間接的な問題は脅威となる可能性があります。

攻撃者は SharePoint サーバーから資格情報を盗む可能性があり、パッチが適用され、保護されてもサーバーに再度アクセスできます。したがって、サーバー管理者は、システムをロックし、ユーザーアクセスを管理する際に、非常に用心深く、慎重である必要があります。

エンドユーザーは、特に大企業が管理する内部の SharePoint サーバーにアクセスできる場合、特に警戒する必要があります。ユーザー資格情報を取得した攻撃者は、悪意のあるWebサイトへのリンクを含む電子メールなど、企業ネットワークを介して正当化されたメッセージを送信できます。疑いのないユーザーは、正当な企業アカウントから来ているため、メッセージを信頼する可能性があります。

セキュリティアップデートの詳細については、Microsoftの公式ウェブサイトをご覧ください。ワシントンポストの報道によると、米国、カナダ、オーストラリアの当局は攻撃を調査している。