2024 年 3 月には、 ドイツ連邦情報セキュリティ局 (BSI) ~に対して大声で警鐘を鳴らした CVE-2024-21410 攻撃。
驚くべき ドイツの17,000台のMicrosoft Exchangeサーバーがオンラインで公開されているのが発見されたそのため、さまざまな重大なセキュリティ脆弱性の影響を受けやすくなります。
この驚くほど高い数字は、重要なセキュリティ アップデートとパッチ適用が継続的に無視され、世界中の組織が危険にさらされているという広範な問題を浮き彫りにしています。
電子メールのセキュリティが問題になる場所
Microsoft Exchange サーバーは、無数の企業や組織の電子メール通信のバックボーンです。 世界中で使用されており、ユーザーは電子メール、カレンダー、連絡先を送受信、管理できます。 しかし、これらの強力なサーバーは、セキュリティの弱点を悪用しようとするサイバー犯罪者の標的になることがよくあります。
BSI の報告書は、無視が最も蔓延している主要な分野を指摘しています。
- 古いソフトウェア: ドイツのインターネットに接続されている Exchange サーバーの約 12% が古いバージョン (2010 年または 2013 年) を使用しています。 これらのバージョンは Microsoft によってサポートされなくなりました。つまり、重要なセキュリティ更新プログラムが何年も提供されていなかったということです。
- パッチの先延ばし:最新の Exchange バージョン (2016 または 2019) であっても、サーバーの約 28% には最新のセキュリティ パッチが適用されておらず、悪用される可能性があります。
CVE-2024-21410 簡単なターゲットの作成
古い、パッチが適用されていない Exchange サーバーは、ハッカーに機密ネットワークへの侵入ポイントを提供します。 Microsoft は既知の脆弱性を修正するセキュリティ パッチを定期的にリリースしていますが、これらのパッチを適用しないと、企業は新たな脅威に対して無防備になります。
CVE-2024-21410 として追跡されている 1 つの特定の脆弱性は、重大なリスクをもたらします。 この重要な権限昇格のエクスプロイトにより、攻撃者が侵害された Exchange サーバーの管理者権限を取得できる可能性があります。 このような力を利用すると、機密データを盗んだり、マルウェアをインストールしたり、システム全体をオフラインにしたりする可能性があります。
無視の代償
脆弱な Exchange サーバーに対する攻撃が成功すると、次のような潜在的な影響が広範囲に及びます。
- データ侵害:攻撃者が機密情報を持ち出し、企業の機密データ、顧客記録、または個人情報の漏洩につながる可能性があります。
- ランサムウェア攻撃:ランサムウェアは組織をデータやシステムから締め出し、復元のための支払いを要求する可能性があります。 これにより、多大な経済的損失や業務の中断が生じる可能性があります。
- 風評被害:サイバー攻撃は組織の信頼を損ない、顧客、パートナー、関係者からの評判を傷つけます。
緊急の行動喚起
BSI の警告は、組織が Microsoft Exchange サーバーのセキュリティを優先することが不可欠であることを強調しています。
CVE-2024-21410 の被害に遭いたくない場合は、
最新のセキュリティパッチを適用する すべての Exchange サーバー バージョンにすぐに対応します。 組織は、重要な更新が遅れないよう、定期的なパッチ適用スケジュールを確立する必要があります。
Exchange 2010 または 2013 を使用している場合、 できるだけ早くサポートされているバージョンに移行する。 これらの古いバージョンはセキュリティ上のリスクが高いため、アップグレードが不可欠です。
CVE-2024-21410 の脆弱性を軽減するには、 すべての Exchange サーバーで拡張保護を有効にする。 Microsoft は、このプロセス用の専用の PowerShell スクリプトを提供しています。
余波を待つ必要はない
ドイツの憂慮すべき状況は、あらゆる規模、あらゆる業界の企業にとって警告となっています。 サイバー犯罪者は常に攻撃の対象となるターゲットを探しており、パッチが適用されていない、または古い Exchange サーバーは攻撃の対象となります。 堅牢なソフトウェアのパッチ適用とアップデートに投資するという選択肢はありません。 それは必需品です。
Microsoft Exchange サーバーを保護するのは今です。 迅速な行動をとることが、潜在的に壊滅的なサイバーセキュリティ侵害に対する最善の防御となります。
注目の画像クレジット: Kerfin7/Freepik