出典: The Hacker News – https://thehackernews.com/2025/10/cisa-and-nsa-issue-urgent-guidance-to.html
原題: CISA and NSA Issue Urgent Guidance to Secure WSUS and Microsoft Exchange Servers
米CISAとNSAがWSUSおよびExchangeサーバーの緊急セキュリティ対策を指導
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)と国家安全保障局(NSA)は、Windows Server Update Services(WSUS)およびMicrosoft Exchangeサーバーに対する緊急のセキュリティ対策を発表しました。特に、CVE-2025-59287という新たな脆弱性を悪用した攻撃が確認されており、組織に対して迅速な対応が求められています。
主要なポイント
- Exchangeサーバーのセキュリティ強化ガイダンス:管理者アクセスの制限、多要素認証(MFA)の導入、トランスポート層セキュリティ(TLS)などの厳格な設定、ゼロトラスト(ZT)モデルの採用が推奨されています。
- サポート終了のExchangeサーバーの廃止推奨:オンプレミスやハイブリッド環境のExchangeサーバーはMicrosoft 365への移行を促し、サポート終了後のリスクを回避することが重要です。
- WSUSの脆弱性CVE-2025-59287:リモートコード実行を可能にする深刻な脆弱性で、攻撃者はBase64エンコードされたPowerShellコマンドを用いて機密データを窃取しています。
- 継続的なパッチ適用と監視の重要性:脆弱なサーバーの特定と緊急アップデートの適用、疑わしいプロセスやPowerShellコマンドの監視が推奨されています。
- 攻撃の早期検知と防御強化:複数のセキュリティ企業が攻撃活動を報告しており、組織は早期警戒体制を整え、システムの安全性を確保する必要があります。
技術的な詳細や背景情報
WSUSはWindows環境における更新プログラムの配布を管理する重要なコンポーネントですが、CVE-2025-59287という脆弱性により、攻撃者がリモートから任意のコードを実行可能となっています。特に、wsusservice.exeやw3wp.exeプロセスからSYSTEM権限で起動される子プロセスを介し、Base64エンコードされたPowerShellコマンドを実行する手法が確認されています。
また、Microsoft Exchange Serverは企業のメール通信の中核を担うサーバーであり、誤設定やサポート終了後の放置が攻撃の温床となっています。CISAとNSAは、Exchange Emergency Mitigation Serviceの有効化、Windowsセキュリティベースラインの適用、アンチマルウェア機能の強化、管理者アクセスの最小権限化などを推奨しています。
さらに、Microsoft Management Console(mmc.exe)を利用したWSUS管理コンソールの操作時にcmd.exeを実行させる攻撃チェーンも発見されており、7053イベントログのクラッシュや特定ログファイルでのスタックトレース検出が関連しています。
影響や重要性
これらの脆弱性と攻撃活動は、教育機関、テクノロジー企業、製造業、医療機関など多岐にわたる業界に影響を及ぼしています。攻撃者は機密データの窃取やシステム制御の奪取を狙っており、被害が拡大すれば組織の運用停止や情報漏洩といった深刻なリスクを招きます。
したがって、組織は迅速にパッチを適用し、セキュリティ設定を見直すとともに、ゼロトラストモデルの導入や多要素認証の実装など多層的な防御策を講じる必要があります。これにより、進化するサイバー脅威に対して先手を打ち、情報資産の保護を強化できます。
まとめ
CISAとNSAは、WSUSおよびMicrosoft Exchangeサーバーに対する深刻な脆弱性と攻撃活動を受け、緊急のセキュリティ対策を呼びかけています。組織は最新のセキュリティアップデートを適用し、管理者アクセスの制限や多要素認証の導入、ゼロトラストセキュリティモデルの採用などのベストプラクティスを実施することが不可欠です。これにより、重要な通信インフラの安全性を確保し、サイバー攻撃からの防御力を大幅に向上させることができます。
