FBIに「ハッキングされた全米のコンピューターにアクセスしてWebシェルを削除すること」が認められる

ハッカーがMicrosoft Exchange Serverの脆弱性を利用して、アメリカ中の数万組織のコンピューターに「外部からのリモートコントロールを可能にするWebシェル」を埋め込んだことが2020年3月に報じられました。アメリカ司法省の発表によると、FBIがこのようなWebシェルの埋め込まれたコンピューターにアクセスし、Webシェルを削除することが裁判所によって承認されたとのことです。

MOTION TO PARTIALLY UNSEAL SEARCH WARRANT AND RELATED DOCUMENTS AND [PROPOSED] ORDER

何者かがMicrosoft Exchange Serverで「ProxyLogon」という4つの脆弱性を悪用し、システムを完全にリモート制御できるWebシェルを植え付けていたことが2021年3月に大きく報じられました。攻撃を行ったのは中国の政府系ハッカーである「Hafnium」だとみられ、アメリカ政府および民間企業を含む3万組織がハッキングされているという指摘をする専門家も。これを受けて国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)は「緊急指令21-02」を発令し、Microsoft Exchangeのオンプレミス製品を使っているすべての機関と連邦政府の民間部門に対し、Microsoftのパッチが適用されるまでシステムをネットワークから切り離すよう要請しました。

この攻撃の規模と緊急性からMicrosoftはセキュリティアップデートを前倒しでリリースし、パッチを配布しました。しかし、パッチはあくまで脆弱性を修正するものであるため、被害を受けていないコンピューターの予防措置としては有効ですが、すでに侵入を受けているシステムを検知し回復させるものではありませんでした。

なお、Microsoftは2021年4月14日付けで月例のWindows Updateを公開しており、この中でExchange Serverの脆弱性に関するセキュリティ更新プログラムも配信しています。

今日は毎月恒例「Windows Update」の日、Exchange Serverの脆弱性も修正される - GIGAZINE

上記ような背景から、2021年4月13日付けで「侵入を受けたコンピューターからWebシェルを削除するために、FBIが脆弱性のあるMicrosoft Exchange Serverを実行しているアメリカ中の数百台のコンピューターにアクセスすること」が裁判所によって承認されました。FBIに許可されている内容はWebシェルの削除のみであり、パッチの配布や、マルウェアの削除は含まれていません。

また裁判所の文書には「Webシェルを削除することで、FBIは悪意ある攻撃者がWebシェルを使ってサーバーにアクセスすることや、別のマルウェアをコンピューターにインストールすることを防ぎます」「FBIはWebシェルにアクセスし、パスワードを入力、そして証拠としてWebシェルをコピーしたのちに、削除のためのコマンドを発行します」とも記されています。

司法省国家安全保障課のジョン・C・デマーズ司法次官補は「パッチやWebシェルの削除ツールの配布など、これまでに行われた政府当局および民間部門の取り組みとあわせて、我々は官民の強いパートナーシップをこの国のサイバーセキュリティで示しています。まだまだやるべきことが残っているのは明らかですが、当局はこの取り組みにおいて統合的かつ必須の役割を果たしています」とコメントしました。

なお、FBIは攻撃の影響を受けるコンピューターの全所有者に対して、上記の操作について連絡しようと試みているとのことです。