Microsoftは、オンプレミスのメールサーバー「Exchange Server」に深刻なセキュリティ上の欠陥が存在することを公式に認め、攻撃者がメール経由でユーザーのブラウザを乗っ取れる可能性があると警告した。さらに問題を複雑にするのは、完全な修正プログラムが有償の延長サポート契約者にしか提供されないという対応方針だ。

何が起きているのか

今回発見された脆弱性は、深刻度評価で「Critical(緊急)」に分類されるものだ。攻撃者は細工されたメールをターゲットに送りつけることで、受信者のブラウザを乗っ取れる可能性がある。Exchange ServerはOutlook Web App(OWA)を通じてブラウザからメールを閲覧する機能を持つため、このような攻撃経路が成立しうる。

特に注意すべきは、メールを「開く」だけで被害を受ける可能性がある点だ。ユーザーが何か悪意ある操作をしなくても、メールを閲覧した時点でブラウザセッションが乗っ取られ、認証情報の窃取やなりすまし操作に悪用されるリスクがある。

「有償サポートのみ完全修正」の意味するもの

Microsoftは現時点で完全な修正プログラムを提供できていない。さらに、完全修正が提供される場合も、有償の延長セキュリティ更新(ESU)契約を締結しているユーザーのみが対象となる見込みだ。

現在サポートが続いているExchange Server 2016・2019でも、標準サポートが終了しESUフェーズに移行しているケースがある。ESU契約のないユーザーは、完全修正を受けられない状態に置かれることになる。

Microsoftが提示した一時的な回避策(ワークアラウンド)は存在するが、それだけでは根本的な問題の解決にはならない。管理者は速やかにMicrosoftの公式セキュリティアドバイザリを確認し、適用可能な緩和策を実施する必要がある。

実務への影響——日本のExchange管理者が今すぐやるべきこと

オンプレミスのExchange Serverを運用している日本企業はまだ相当数存在する。特に中堅・大企業でクラウド移行の判断が遅れているケースでは、今回の脆弱性が直撃する。

今すぐ確認すべき対応ポイント:

自組織のExchangeバージョンを把握する Exchange Server 2016・2019・2013のいずれを運用しているか確認し、現在のCUおよびSUの適用状況をチェックする。

ESU契約の有無を確認する 有償延長サポートの対象かどうかによって取れる選択肢が変わる。ライセンス担当者・Microsoft担当営業に即座に問い合わせること。

Microsoftの公式アドバイザリを参照し、ワークアラウンドを適用する 完全修正が出るまでの間も、公式が案内する緩和策を漏れなく実施する。

OWAの外部公開を制限できるか検討する インターネットからのOWAアクセスを一時的に制限できる運用であれば、攻撃面を大幅に縮小できる。

Exchange Onlineへの移行を加速する判断材料とする 今回のインシデントは、オンプレミス運用のリスクを再評価するよい機会でもある。

筆者の見解

セキュリティ分野は正直得意ではないが、今回の件は見過ごせない。

まずExchange Serverの脆弱性対応として技術的な点を言えば、「今動いているから大丈夫」という発想が最も危険だ。このような「Critical」評価の脆弱性は、攻撃者がいつでも武器化できる状態になる前に手を打たなければならない。ワークアラウンドがあるうちに適用し、完全修正が出たら即座に当てる。これが基本だ。

一方、今回のMicrosoftの対応方針——「完全修正は有償サポート契約者のみ」——については、率直に言って「もったいない判断だ」と感じる。セキュリティの脆弱性対応は、ビジネスモデルの都合で線引きしてほしくない部分だ。Microsoftには、ユーザーを守るプラットフォームベンダーとしての責任感を、こういう局面でこそ見せてほしい。長年Exchangeを使い続けてくれているユーザーが、契約状況によって不平等な保護しか受けられないという状況は、信頼関係という観点からも得策ではない。

オンプレミスExchangeを運用し続けているIT部門にとって、今回の件はクラウド移行の判断を改めて問い直す契機になる。Exchange Onlineに移行すれば、こうしたパッチ管理の責任はMicrosoftが負う。「守る仕組みを作ること」と「自分で守り続けること」のどちらが自組織に合っているか、経営層を巻き込んで考えるべき時期に来ている。

出典: この記事は Exchange Server has a “critical” security bug, but Microsoft does not have a proper fix yet の内容をもとに、筆者の見解を加えて独自に執筆したものです。