2021 年 4 月 21 日 Trevor Collins 著

ここ数か月間 Exchange Server の脆弱性が HAFNIUM によって幾度となく攻撃されてきました。Microsoft がこの深刻な欠陥に対するパッチをリリースした後も、依然として Exchange Server への攻撃は続いており、多くの Exchange Server が今もなお危険にさらされているようです。ウォッチガードに限らず多くの記事がこの脆弱性を広く取り上げているため、これ自体は目新しいニュースではありません。Microsoft によるパッチのリリースも 1 ヶ月以上前のことです。しかし最近公開されたあるレポートでは、FBI が侵害された多くの Exchange Server を特定し、さまざまなサイバー犯罪者がインストールした Web シェルを検出したことを明らかにしています。

しかし先週、FBI はさらに一歩踏み込んだ行動に出ました。法廷の承認を受けた上で、侵害されたサーバを特定し、Web シェルを介してサーバに接続し、攻撃者が残した悪意のある Web シェルを削除したのです。確かに管理者が Exchange Server を長い間侵害されたまま放置していた点に責任はありますが、これは FBI による Exchange Server への接続を是認する理由にはなりません。以前の裁判文書によれば、FBI はこれらのデバイスに接続するための個別の令状を必要としていませんでした。つまり FBI は包括的な令状だけであらゆるサーバにアクセスし、変更を加えることができる、という前例を作ったのです。これは明らかに財産権の侵害でしょう。FBI は単にサーバの不具合を修正しただけである、と主張する人もいるかもしれませんが、財産権の規定では、ある人物を助けるつもりであれば、政府が財産にアクセスしてもいい、ということにはなっていません。例えば誰かが会社の壁に落書きをしたとしても、所有者の許可なしにその落書きを消し去る権利は FBI にはありません。

管理者は、提供する機能やセキュリティに基づいてソフトウェアを選択します。Microsoft Exchange Server とホスト OS は不正な変更からサーバを保護します。ソフトウェアを購入する際には、権限のあるユーザだけがサーバに変更を加えることができ、権限のないユーザは変更を加えられないことが想定されています。そのためアクセスには明示的な許可を必要とします。もし Exchange Server に変更を加えるために、通常期待されるルートを回避しなければならないのであれば、所有者からこれらの変更を加えるための明示的な許可を得ていないことになります。FBI は過去にも Coreflood ボットネットを使って同様の攻撃を行っています。しかし今回は、Exchange Server に直接接続して Web シェルを削除したようです。対して Coreflood の時は、以前に乗っ取ったコマンド & コントロールインフラストラクチャから自分自身を削除するコマンドを送信して削除しました。

最終的に裁判所の意見は筆者とは違い、FBI に過度に広い範囲の令状を与えることになりました。FBI は、サーバの所有者を特定するための令状を請求することもできたはずですが、ウォッチガードが知る限りではこれを行っていません。FBI がどのようにそれを行ったのか、どの IP アドレスを使ったのか、正確には不明です。

しかしそもそもインフラストラクチャを安全に保っていれば、このような事態が発生することを防げます。サーバは、確実に更新して保護しましょう。しかし根本的に重要なのは、FBI は自分たちが所有しておらず、罪を犯してもいないサーバにはアクセスすべきではない、ということです。