1. HOME
  2. ブログ
  3. Blog
  4. 海外ブログ
  5. マイクロソフトの攻撃対象領域はどの程度か

Info.

お知らせ

海外ブログ

マイクロソフトの攻撃対象領域はどの程度か

マイクロソフトの攻撃対象領域はどの程度か のページ写真 1

2024年1月16日、Christine Barry

あなたの組織のマイクロソフトの攻撃対象範囲はどのくらい広いのでしょか。どの程度のマイクロソフトを防御しているか、知っていますか。

マイクロソフトのオペレーティングシステムとアプリケーションは、ビジネス環境で避けて通ることはまずできません。避けるべきだと言っているのではありません。ウィンドウズとマイクロソフト 365 は私の常用システムであり、それでいいと思っていますが、マイクロソフト製品があらゆる脅威アクターのお気に入りの標的であるという事実を無視することはできません。Active Directory、SQL、Microsoft 365、Outlook、その他多くのマイクロソフト製品には、悪用可能な脆弱性があります。誤った設定や不十分なセキュリティ対策は、リスクを増大させます。こうした脅威ベクトルのほぼすべてに対応するマイクロソフト製品が存在します。

マイクロソフトはどの程度浸透しているか

ウィンドウズのデスクトップOSだけを見ると、2023年7月の時点でマイクロソフトが約70%の市場シェアを占めています。タブレットやコンソールを加えると、この数字は6%近く下がります。Microsoft Exchange Online のホスト型メール市場シェアは 39 %強ですが、オンプレミス型とホスト型 Exchange 製品のメール市場シェアの合計はなかなかわかりません。マイクロソフト・ファミリーの中では、Exchange Online がオンプレミスの導入に対して約3対1で優位を占めています。Exchange Online はオンプレミスに比べて保守や管理が非常に簡単ですから、これはほとんどの企業にとって良いことでしょう。しかし、オンプレミスで Exchange を運用する必要がある、あるいは運用したいと考えている企業もあります。こうした企業は、セキュリティーを確保する必要があるでしょう。Microsoft Exchange の次のリリースは2025年前半に予定されています。当初のリリース予定から4年も遅れたことになります。これは、既存のサーバーを国家支援型攻撃から守ることに開発努力を集中させていたためなのです。

Microsoft SQL Server(MSSQL)は、オンプレミスで広く使用されているデータベースサーバーです。ホスト型バージョンの SQL サーバーは Microsoft Azure で利用できます。次期バージョンの計画はまだ発表されていません。生産性向上スイートである Microsoft 365は、コロナ禍で爆発的に普及しました。全働き手がオフィスから家に働く場所を移したからです。2023年12月現在、3億4500万人の有料顧客が同ソフトウェアを利用しています。

そして、Microsoft Active Directory(AD)は、Windows Server オペレーティングシステム上で実行される一連のプロセスです。AD は、ネットワーク上のオブジェクトに関する情報を保存し、ユーザー、デバイス、権限、グループなどの集中管理ポイントとして機能します。

この製品群はほんの一部です。Microsoft がどれほど浸透しているか、おわかりいただけたでしょうか。

古いものは狙われる

古いシステムやパッチが適用されていない脆弱性は、脅威アクターにとって絶好の機会です。常時、どれだけの脆弱性と脅威の機会が「野放し」になっているかを正確に測る方法はありません。米サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、既知の悪用された脆弱性Known Exploited Vulnerabilities、KEV )カタログの中で、よくある脆弱性とエクスポージャー(Common Vulnerabilities and Exposures、CVEs )を文書化しています。CISAは、KEVカタログを「脆弱性管理の優先順位付けフレームワークのインプット」として使用するよう、すべての組織に助言しています。KEVカタログには 276 にのぼるマイクロソフト CVE が掲載されており、マイクロソフト・セキュリティ・アップデート・ガイドには170以上の CVE 修正が掲載されています。どれだけのマイクロソフトCVEがパッチ未適用のまま残っているかさだかではありませんが、これらのパッチ未適用のシステムが、米国やその他の国々で確かな脅威となっていることは間違いありません。以下にいくつかの例を示します。

EternalBlue (CVE-2017-0144):もともとは米国家安全保障局(NSA)が開発したツールが流出したもので、 Windows SMB1.0 サーバーが特定のリクエストを処理する際のセキュリティ上の脆弱性を悪用し、2017年に大規模な世界的サイバー攻撃を可能にしました。マイクロソフトは数年前にこの脆弱性のパッチを適用しましたが、何十万ものシステムが脆弱なままです。

BlueKeep (CVE-2023-29357):脅威者は、リモートデスクトッププロトコル(RDP)の脆弱なバージョンに悪意のあるパケットを送信します。この攻撃により、侵入者は 「完全なユーザー権限を持つアカウントの追加、データの閲覧、変更、削除、プログラムのインストール」ができます。マイクロソフトは2019年5月にこの脆弱性に対するセキュリティパッチをリリースしました。米国の Shodan ダッシュボードを見ると、インターネットに接続された数千台のマシンがまだこの攻撃に対して脆弱であることがわかります。

寿命の尽きた Exchange サーバー(複数のCVE):オンプレミスの Exchange サーバーは、ファイルストレージやプリントサーバー、Active Directory などと同じマシン上にあることがよくあります。これらのマシンは Exchange サーバーとして動作している場合もあれば、適切にサービスを停止していない旧 Exchange サーバーである場合もあります。このようなケースは、古い Windows Small Business Server がローカルストレージとして使用されている可能性があります。バラクーダのセキュリティリサーチャーは最近、このような古いExchangeサーバーを複数の脆弱性を持つ重大な脅威として警告しました。

SharePoint Server 特権昇格の脆弱性 (CVE-2023-29357):マイクロソフトはこの脆弱性を2023年6月にパッチしました。どれだけのシステムがまだ脆弱性を抱えているかは不明ですが、2024年1月10日、CISA はアクティブな悪用に関する勧告を発表し、米国の官公庁は2024年1月31日までにエクスポージャーを修復する必要があります。NISTの技術的な詳細はこちら研究者のドキュメントはこちらから確認できます。

Log4Shell / Log4J (CVE-2021-44228)Log4J は、マイクロソフトが所有するものではありませんが、マイクロソフトのシステム上で実行されている可能性のある多くのサードパーティアプリケーションで使用されているロギングライブラリです。この脆弱性は、脅威アクターが認証なしでシステムにアクセスし、リモート命令を実行することを可能にします。マイクロソフトは、2022年4月のこのアップデートで SQL Server 2019 Integration Services(SSIS)におけるlog4j2の使用を削除し、Microsoft MinecraftのようなアプリケーションのJavaエディションにおける問題を緩和しました。Microsoft Defenderを使用すれば、デバイスの Log4J 脆弱性を検出し、修復できます。

sAMAccountName セキュリティバイパス (CVE-2021-42278)Microsoft Active Directory に対するこの攻撃は、非管理者がコンピューターをドメインに追加できる機能を利用しています。この機能は、ネットワーク・ユーザーが簡単に PC をネットワークに追加したり、基本的なセットアップ作業を実行したりすることを許可できるようするものでした。マイクロソフトは2021年11月にパッチと緩和策を発表しました。

ここに紹介したのは、今なお悪用されている古い脆弱性のほんの一握りにすぎません。こうした脆弱性はまだまだたくさんあります。しかしレガシーシステムの多くは、業務に支障をきたすことなく更新したり置き換えたりすることはできないのです。

古くなくても狙われる

攻撃にさらされているのは、古いシステムや脆弱性だけではありません。Microsoft SQL Serverは現在、xp_cmdshellプロシージャを使用してマルウェアやランサムウェアのペイロードをダウンロードし、ネットワーク内を横移動してドメインコントローラーやその他のシステムにアクセスする攻撃の標的になっています。Xp_cmdshellは、SQL Server環境からWindowsシェルコマンドを実行できるようにする正規の機能です。このプロシージャはデフォルトでは無効になっており、特定の用途でのみ有効にすべきものです。この攻撃は不十分な設定に依存しており、デフォルトの状態を変更する前にコンポーネントを理解することの重要性を示しています。MSSQL 攻撃に関する詳細はこちらを確認してください。

NT Lan Manager(NTLM)強制認証攻撃は、Microsoft Access の正当な機能を悪用したものです。前述の SQL Server や Active Directory の脅威と同様、この攻撃もパッチで完全に防ぐことはできません。最小特権の原則、ゼロトラスト・セキュリティ、プロアクティブ・ディフェンス(脅威ハンティング)、その他のベストプラクティスをセキュリティプランに含める必要があります。

脅威アクターがシステムにアクセスした場合、その脅威アクターは感染後の戦略を使って、ネットワーク内で見つけたあらゆるものを悪用することができます。以下に、非常に基本的なセキュリティの概要を示します。

攻撃者が侵入できないようにする。

攻撃者が中に入ったらすぐに気づけるようにする。

一刻も早く攻撃者を追い出す。

攻撃者が荒らしていったところの後始末をする。

 二度と同じ経路では入ってこられないようにする。

これはもちろん包括的な対策ではありませんが、重要な点を示しています。つまり、第2段階まで進んだときにはもう、感染後の段階に入るということです。この段階では、ネットワークのセグメンテーション、最小権限、セキュアなコンフィギュレーションによって影響は軽減されます。XDR と SOC-as-a-Service を導入していれば、感染後の状況は大幅に改善されるでしょう。

そしてその先は?

まとめるにあたり、冒頭の問いに戻ります。マイクロソフトの攻撃対象領域はどのくらいですか。どれだけのマイクロソフトを防御していますか。

何かを保護したいのであれば、それがそこにあることを知ることから始めましょう。インベントリを最新にし、コンピューティングとサイバーセキュリティの標準を実施し、シャドーITや不正なITを排除する必要があります。プロジェクトによっては、時間がかかるかもしれません。レガシーシステムのアップデートは、「すぐに簡単にできる」作業ではありません。権限を最小権限にするという単純なことでさえ、利害関係者の賛同を必要とするプロジェクトになる可能性があります。

パッチマネジメントシステムを導入している会社も多いでしょう。派手なものである必要はなく、すべてが更新されるべき時に更新されていることを確認するだけでよいのです。マイクロソフトは定期的にアップデートや緩和策を発表しているので、常に情報を入手するようにしましょう。

最も賢い方法の1つは、Barracuda Managed XDR のようなソリューションを導入することです。これは、すべての脅威ベクトルにプロアクティブなセキュリティを導入する最も簡単でコスト効率の高い方法の1つです。バラクーダのグローバルセキュリティオペレーションズセンター(SOC)では、最新の脅威情報を持つセキュリティアナリストが24時間365日体制で対応しています。このアナリストは、システム内の異常と脅威と見られる動作に常に目を光らせています。

Barracuda Managed XDR の詳細については Webサイトをご覧ください。また、バラクーダの SOC が最初の Log4J アラートの後、最初の24時間をどのように過ごしたかについては、こちらのブログでご確認ください。

原文はこちら
How big is your Microsoft attack surface?
Jan. 16, 2024 Christine Barry
https://blog.barracuda.com/2024/01/16/how-big-is-your-microsoft-attack-surface-

 

関連記事