出典: The Hacker News – https://thehackernews.com/2025/10/cisa-and-nsa-issue-urgent-guidance-to.html
原題: CISA and NSA Issue Urgent Guidance to Secure WSUS and Microsoft Exchange Servers
米CISAとNSAがWSUSおよびMicrosoft Exchange Serverの緊急セキュリティ対策を指導
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)と国家安全保障局(NSA)は、Microsoft Exchange ServerおよびWindows Server Update Services(WSUS)に関する深刻な脆弱性への対策ガイダンスを公開しました。これらの脆弱性は、企業の重要な通信基盤や更新管理システムを標的にした攻撃のリスクを高めています。
主要なポイント
- Exchange Serverのセキュリティ強化:管理者アクセスの制限、多要素認証(MFA)の導入、トランスポート層セキュリティ(TLS)設定の厳格化など、ゼロトラストモデルの採用が推奨されています。
- オンプレミスExchangeの廃止推奨:サポート終了となったオンプレミスやハイブリッド環境のExchangeサーバーは、Microsoft 365への移行が推奨され、不要なリスクを減らすことが求められています。
- WSUSの新たな脆弱性(CVE-2025-59287):リモートコード実行の恐れがあるこの脆弱性は、攻撃者によって既に悪用されており、緊急のパッチ適用と監視が必要です。
- 攻撃の兆候監視:Base64エンコードされたPowerShellコマンドの実行や、疑わしいSYSTEM権限の子プロセスの動作を監視し、早期発見に努めることが重要です。
- 多層的な防御策の実施:ウイルス対策、エンドポイント検出・対応(EDR)、アンチスパム機能の有効化など、多角的なセキュリティ対策が推奨されています。
技術的な詳細や背景情報
Microsoft Exchange Serverは企業のメール通信を支える重要なサーバーであり、攻撃者にとって魅力的な標的です。CISAとNSAは、Exchange管理センター(EAC)やリモートPowerShellへのアクセス制限、最小権限の原則の適用を強調しています。これにより、不正アクセスや権限昇格のリスクを低減できます。
一方、WSUSはWindows環境の更新管理を担うサービスで、CVE-2025-59287の脆弱性はwsusservice.exeやw3wp.exeから起動される子プロセスを悪用し、リモートコード実行を可能にします。攻撃者はBase64エンコードされたPowerShellコマンドを用いて悪意ある操作を実行し、外部のwebhookサイトに情報を送信していることが確認されています。
この脆弱性は2025年10月24日に初めて検出され、ソフォスやDarktrace、Palo Alto Networksなど複数のセキュリティ企業が報告しています。攻撃はまだ初期段階と見られますが、迅速な対応が求められています。
影響や重要性
Exchange ServerやWSUSの脆弱性は、企業の通信の機密性や業務継続性に重大な影響を及ぼします。攻撃者がこれらの脆弱性を悪用すると、機密データの漏洩やシステムの乗っ取り、さらには社内ネットワーク全体への侵入につながる恐れがあります。
特に、サポート終了のExchangeサーバーを使い続けることは、既知の脆弱性を放置することになり、攻撃リスクを大幅に高めます。また、WSUSの脆弱性は更新管理の根幹を揺るがすため、組織のセキュリティ態勢全体に悪影響を及ぼす可能性があります。
まとめ
CISAとNSAの最新ガイダンスは、Microsoft Exchange ServerおよびWSUSの脆弱性に対する緊急の対応を促しています。組織は管理者アクセスの制限、多要素認証の導入、最新パッチの適用などのベストプラクティスを速やかに実施し、攻撃の兆候を継続的に監視する必要があります。
また、オンプレミスのExchangeサーバーは可能な限りMicrosoft 365への移行を進め、サポート終了製品の使用を避けることが重要です。これにより、進化するサイバー脅威に対抗し、企業の通信基盤の安全性と信頼性を確保できます。
