FBIは米国全土の数百台のMicrosoft Exchangeサーバーに犯罪者がインストールしたウェブシェルを削除したことが火曜日に明らかになった。
企業向けソフトウェアの重大な脆弱性が発見され、悪用された後、連邦政府はサーバーの所有者に事前に警告することなく削除を実行することを裁判所から承認された。
マイクロソフトが先月初めにExchangeのセキュリティホールについて警告を発し、脆弱性への修正プログラムを提供して間もなく、悪意のある攻撃者がプログラミング上の欠陥を悪用し、パッチ未適用のサーバーを乗っ取ろうと殺到した。(一部のグループは、これらのホールの存在が公になる前から、Exchangeサーバーに侵入していた。)
FBIは、あるサイバー犯罪集団によって設置されたバックドアを含む、数百件もの侵害を受けたシステムを発見しました。これを受け、捜査官たちは裁判所に対し、不正コードを削除する権限を求めた訴訟を起こしました。裁判所はこの訴訟を承認し、30日後の今週、文書が公開されました。
NSAは4月のパッチの大量配布で重大なExchange Serverの脆弱性を公開し、Microsoftを支援
続きを読む
「感染したシステム所有者の多くは数千台のコンピュータからウェブシェルの削除に成功したものの、そうでないシステム所有者は削除できなかったようで、数百ものウェブシェルが未対策のまま残っていた」と司法省は発表で指摘した。「本日の作戦では、初期のハッキンググループが残していたウェブシェルを削除した。これらのウェブシェルは、米国ネットワークへの永続的な不正アクセスを維持し、拡大するために利用された可能性がある。」
FBIは、ウェブシェル経由でサーバーにコマンドを発行し、シェルを削除した。「このコマンドは、サーバーがウェブシェル(固有のファイルパスで識別される)のみを削除するように設計されていた」とFBIは述べている。しかし、重要なのは、FBIがサーバー自体には手を付けなかったため、パッチが適用されず、侵入の危険にさらされている点だ。
サイバーセキュリティの共同の取り組み
FBIは、ウェブシェルを発見したすべてのサーバーの運営者に電子メールを送信し、機器にパッチを適用する方法をアドバイスする予定だと述べた。
「本日、裁判所の許可を得て悪質なウェブシェルを削除したことは、訴追だけでなく、あらゆる法的手段を使ってハッキング活動を阻止するという司法省の決意を示すものだ」と司法省国家安全保障局のジョン・デマーズ司法次官補は述べた。
「検出ツールやパッチのリリースなど、これまでの民間部門や他の政府機関の取り組みと相まって、官民パートナーシップが我が国のサイバーセキュリティにもたらす強さを示しています。」
この措置はテキサス州の裁判所によって承認された[PDF]。テキサス州南部地区の代理連邦検事ジェニファー・ロウリー氏は、この削除はサイバーセキュリティの脅威に効果的に対抗するために必要な政府と民間部門の連携の一種であると主張した。
「数百台の脆弱なコンピュータから悪意のあるウェブシェルをコピーして削除するという、裁判所が認可したこの作戦は、サイバー犯罪者と戦うためにあらゆる実行可能なリソースを使うという私たちの決意を示しています」と彼女は述べた。
「私たちは、脅威が軽減され、悪意のあるサイバー侵害から国民をさらに保護できるようになるまで、パートナーや裁判所と連携して脅威と闘い続けます。」®
