危険な脆弱性の場合は特に、すでに侵入されていないかを確認する必要があります。
パッチを当てると環境を汚してしまい、攻撃の手口、被害の状況の調査が困難になる可能性があります。また、パッチを当てたからといってシステムが直り攻撃を止められるわけではありません。確かにこの脆弱性を突く新たな攻撃は止められますが、すでに侵入している攻撃者の行動を止められるわけではないからです。
ではどうやって侵入されていないかを確認できるのでしょうか?
ProxyLogonの場合、JPCERT/CCでは以下のように確認方法が示されていました。
https://www.jpcert.or.jp/at/2021/at210012.html
関連情報
マイクロソフトなどから、観測した攻撃の内容を解説する情報が公開されています。同社のブログでは、悪用された脆弱性の内容に加え、攻撃で確認された活動、攻撃の被害有無を確認するための調査方法やインジケータ情報が公開されています。調査を実施する場合の参考にしてください。
Microsoft HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
リンク先である、HAFNIUM targeting Exchange Servers with 0-day exploits の文中、
Can I determine if I have been compromised by this activity?
(すでに攻撃されているか確認できますか?)
の中に、ログの確認方法、不審ファイルのパスとファイル名、IOC(indicators of compromise, 不審ファイルなどのハッシュ値)、アンチマルウェアソフトでの識別情報が示されています。
これら情報を使い攻撃の有無を確認できます。
実際にはシステム・ITについてベンダー丸投げの会社もあると思います。この緩和策の文章を読み、理解し、実際にシステムを確認できるくらいのことができる社員を育てることは大切なことです。リスクに対応するスピードを上げることができます。
もし攻撃されている(いた)ことが確認できた場合の対応ですが、自社で対応できないようであれば外部に依頼することをお勧めします。よくわからないまま動くより、有識者の指示通りに動いた方がよいです。そうしないと被害がどこまで広がっているのかがわからなくなってしまうリスクがあります。
ProxyLogonの場合、初動としては
- Exchangeサーバをネットワークから切断する
- Exchange サーバが直るまでAD(Active Directory)と接続できないようにする
くらいをしておいた方がよいでしょう。これで封じ込めておいて専門家による調査を待ちます。
なお、Exchange サーバをネットワークから切断するとメールが使えなくなります。
なのでメールが使えなくなった場合の連絡手段はBCP(事業継続計画)の中で用意しておくべきです。もしメールが使えなくなった場合の対応策が考えられていない場合は早急にご検討ください。