コラム

Column

導入事例

Case Study

サイバーニュース

Cyber News

海外のサイバーセキュリティ関連のニュースを日本語でご紹介しています。

お知らせ

News

Microsoft Exchangeのログイン画面にキーロガー、認証情報窃取の攻撃を確認

Positive Technologiesは、インターネットに公開されたMicrosoft Exchange Serverのログインページに悪意あるJavaScriptコードが埋め込まれ、利用者の認証情報が盗まれる攻撃を確認したと報告しています。攻撃では既知脆弱性の悪用が示されており、長期間検知されにくい点が問題です。

The Hacker News:Hackers Target Over 70 Microsoft Exchange Servers to Steal Credentials via Keyloggers

この記事のポイント

影響のあるシステム

  • インターネットに公開されているMicrosoft Exchange Server
  • Outlook Web Accessなど、Exchangeのログインページを外部公開している環境
  • 既知脆弱性が未修正のMicrosoft Exchange Server
  • ProxyLogon関連の脆弱性が未修正のExchange環境
  • ProxyShell関連の脆弱性が未修正のExchange環境
  • CVE-2014-4078、CVE-2020-0796、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065、CVE-2021-31206、CVE-2021-31207、CVE-2021-34473、CVE-2021-34523の影響を受ける可能性がある環境
  • 政府機関、銀行、IT企業、教育機関、産業関連企業、物流企業など、Exchange Serverを公開運用している組織

推奨される対策

  • Microsoft Exchange Serverに最新のセキュリティ更新プログラムを適用してください。
  • Exchange Serverのログインページや関連ファイルに、不審なJavaScriptコードが追加されていないか確認してください。
  • 認証ページから外部サーバー、Telegram Bot、DNSトンネル、未知のURLへ通信していないか確認してください。
  • Exchange Server上に、認証情報が保存された不審なローカルファイルが作成されていないか調査してください。
  • Exchange管理画面やOWAへの外部公開範囲を見直し、不要な公開を停止してください。
  • Exchangeにアクセスするアカウントのパスワードを変更し、多要素認証を適用してください。
  • 侵害が疑われる場合は、サーバーのログ、Webディレクトリ、IISログ、認証ログを保全し、影響範囲を調査してください。
  • 過去にProxyLogonやProxyShellの影響を受けた環境では、パッチ適用だけでなく、侵害痕跡の有無も確認してください。

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

この記事に出てくる専門用語

  • Microsoft Exchange Server:Microsoftが提供するメール・予定表・連絡先管理などのサーバー製品です。企業のメール基盤として利用されます。
  • キーロガー:利用者が入力した情報を記録・窃取する仕組みです。今回の記事では、ログインフォームに入力された認証情報をJavaScriptで取得する手法が報告されています。
  • JavaScript:Webページ上で動作するプログラム言語です。正規の機能にも使われますが、攻撃者が悪意ある処理を埋め込む場合もあります。
  • ProxyLogon:Microsoft Exchange Serverに関する一連の脆弱性群として知られる名称です。元記事ではCVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065が挙げられています。
  • ProxyShell:Microsoft Exchange Serverに関する別の一連の脆弱性群として知られる名称です。元記事ではCVE-2021-31207、CVE-2021-34473、CVE-2021-34523が挙げられています。
  • XHR:Webページからサーバーへデータを送受信するために使われる仕組みです。今回の攻撃では、認証情報の送信に使われたと報告されています。
  • DNSトンネル:DNS通信を悪用してデータを外部へ送信する手法です。通常の通信に紛れやすいため、検知を回避する目的で使われることがあります。
  • Telegram Bot:Telegram上で自動処理を行う仕組みです。今回の記事では、盗まれた認証情報の送信先として使われた変種が報告されています。
  • PhantomCore:Positive Technologiesが、更新後の分析でExchangeキーロガーとの関連を示したハッキンググループです。
  • PhantomDL:PhantomCoreに関連するとされるマルウェアです。元記事では、次段階ペイロードとして取得されるマルウェアとして説明されています。

Exchangeのログイン画面そのものが攻撃の入口になっています

今回の攻撃で特に注意すべき点は、利用者が普段アクセスするMicrosoft Exchange Serverのログインページそのものが改ざんされていることです。Positive Technologiesによると、攻撃者はインターネットに公開されたExchange Serverを標的とし、Outlookのログインページに悪意あるJavaScriptコードを埋め込んでいます。利用者が正規のログインページにIDやパスワードを入力すると、その情報が攻撃者に取得される可能性があります。利用者から見ると、画面の見た目や操作は通常のログインと大きく変わらないため、フィッシングメールのように偽サイトへ誘導されていると気づくことが難しい攻撃です。

元記事では、Positive Technologiesが2種類のキーロガーコードを確認したとされています。1つは、収集した認証情報を侵害されたExchange Server上のローカルファイルに保存し、そのファイルが外部ネットワークからアクセス可能になるタイプです。もう1つは、収集した情報を外部サーバーへ即時送信するタイプです。前者は外部への送信通信が発生しにくいため、ネットワーク監視だけでは発見が難しい可能性があります。後者では、Telegram BotやDNSトンネル、HTTPS POSTリクエストを使った送信手法も報告されています。

この攻撃は、単にメールサーバーが侵害されるだけでなく、組織内の利用者アカウントが平文で盗まれる点が重大です。Exchangeの認証情報は、メール閲覧、社内連絡、添付ファイル、予定表、取引先とのやり取りなどにアクセスするための入口になります。さらに、同じ認証情報が他の社内システムでも使い回されている場合、攻撃者がVPN、クラウドサービス、業務システムへアクセスを広げる可能性があります。そのため、Exchange Serverを外部公開している組織では、脆弱性対応だけでなく、ログインページの改ざん有無と認証情報漏えいの可能性をあわせて確認する必要があります。

既知脆弱性を放置したExchange Serverが継続的に狙われています

元記事によると、この攻撃ではMicrosoft Exchange Serverの既知脆弱性が悪用され、ログインページへキーロガーコードが挿入されているとされています。具体例として、ProxyShellのような既知の脆弱性が挙げられています。また、元記事ではCVE-2014-4078、CVE-2020-0796、ProxyLogon関連のCVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065、さらにCVE-2021-31206、ProxyShell関連のCVE-2021-31207、CVE-2021-34473、CVE-2021-34523が列挙されています。CVSSスコアや影響バージョンの詳細は、元記事内では示されていません。

Positive Technologiesは、2024年5月時点でアフリカや中東の組織を標的とした同様のキャンペーンを文書化しており、当時は政府機関、銀行、IT企業、教育機関など少なくとも30件の被害を確認したとされています。今回の分析では、26か国にわたる65件の被害が確認されたと報告されています。また、更新情報では、2025年8月15日に公開された新たな分析として、キーロガーがPhantomCoreマルウェアの背後にいる同名のハッキンググループに関連付けられたとされています。追加の分析では、最近数か月で10件の被害が確認され、被害者はいずれもロシアのITコンサルティングまたはITソリューション開発企業であり、収集されたアカウント数は5,000件を超えると説明されています。

この事案は、古い脆弱性であっても、インターネットに公開されたサーバーでは長期間にわたり悪用され続けることを示しています。Exchange Serverのようなメール基盤は、業務継続に不可欠であるため、停止や更新が後回しにされやすい一方、攻撃者にとっては認証情報と業務情報の両方に近づける価値の高い標的です。過去にパッチを適用した場合でも、適用前に侵害されていた可能性は残ります。そのため、更新プログラムの適用状況だけでなく、Webディレクトリの改ざん、IISログ、認証ログ、不審なファイル作成、外部通信の有無を確認することが重要です。

検知を難しくする2つの窃取パターンに注意が必要です

今回確認されたキーロガーの特徴は、認証情報の窃取方法が複数あることです。1つ目の手法では、悪意あるJavaScriptが認証フォームのデータを読み取り、XHRリクエストを使って侵害されたExchange Server上の特定ページへ送信します。そのページには、受信したリクエストを読み取り、データをサーバー上のファイルへ書き込む処理が含まれていると説明されています。この場合、盗まれた認証情報を保存するファイルが外部ネットワークからアクセス可能な状態になっていると報告されています。一部の変種では、ログイン情報に加えて、ユーザーCookie、User-Agent文字列、タイムスタンプも収集されるとされています。

このローカル保存型の厄介な点は、攻撃者が認証情報を外部サーバーへ直接送信しなくてもよいことです。通常の情報窃取型マルウェアでは、外部への不審な通信が検知の手がかりになる場合があります。しかし、侵害されたExchange Server内にデータを保存し、後から攻撃者がそのファイルへアクセスする方式では、送信通信だけを監視している環境では見逃される可能性があります。つまり、出口対策だけでは不十分であり、サーバー内のファイル変更やWebページの改ざんを監視する必要があります。

2つ目の手法では、Telegram Botが認証情報の送信先として使われたと報告されています。この変種では、XHR GETリクエストにより、エンコードされたログイン名とパスワードがAPIKeyおよびAuthTokenヘッダーに格納されて送信されるとされています。さらに、別の方法として、DNSトンネルとHTTPS POSTリクエストを組み合わせ、組織の防御をすり抜けて認証情報を送信する手法も説明されています。国内組織で確認する場合は、Exchange Serverからの外部通信、DNS問い合わせ、Telegram関連通信、通常とは異なるHTTPヘッダー、Webディレクトリ内の不審なスクリプトや書き込み処理を重点的に調査すべきです。

国内組織が直ちに確認すべき点

被害の上位10カ国に日本は含まれていませんが、インターネットに公開されたExchange Serverを運用する国内組織にとっても、決して他人事ではない脅威です。日本の組織がまず確認すべきなのは、自社のMicrosoft Exchange Serverがインターネットから到達可能かどうかです。外部公開が業務上必要な場合でも、公開範囲、アクセス制御、多要素認証、最新パッチの適用状況を確認する必要があります。特に、過去にProxyLogonやProxyShellの影響を受けた可能性がある環境では、単に現在のバージョンが更新済みであるかだけでなく、過去の侵害痕跡が残っていないかを確認することが重要です。攻撃者がすでにログインページへコードを埋め込んでいた場合、パッチ適用後も改ざんファイルや窃取済み認証情報が残っている可能性があります。

次に、Exchange Serverのログインページ周辺のファイルを確認してください。正規の認証ページに見慣れないJavaScript、外部URLへの通信、XHRリクエスト、Telegram Bot API、DNSトンネルを疑わせる処理、不審なヘッダー名が含まれていないかを調査する必要があります。また、認証情報が保存されている可能性のあるローカルファイルがWeb経由でアクセス可能な場所に作成されていないかも確認してください。元記事で指摘されているように、ローカル保存型のキーロガーは外部送信通信が少なく、ネットワーク監視だけでは見つけにくい可能性があります。

最後に、認証情報漏えいを前提にした対応も必要です。Exchange Serverの改ざんが疑われる場合は、影響を受けた可能性のあるアカウントのパスワード変更、多要素認証の適用、メールボックスの転送設定や不審なルールの確認、管理者権限の見直しを実施してください。さらに、IISログ、認証ログ、Webディレクトリの変更履歴、外部アクセス履歴を保全し、攻撃者がどの時点で侵入し、どのアカウント情報を取得した可能性があるのかを調査する必要があります。Exchangeは組織のコミュニケーション基盤であり、侵害された場合の影響が広範囲に及ぶため、パッチ管理、外部公開管理、改ざん検知、認証強化を継続的な運用として定着させることが求められます。

参考文献・記事一覧

投稿者プロフィール

CyberCrew(サイバークルー)
CyberCrew(サイバークルー)
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

情報セキュリティサービス台帳登録事業者

■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10

■ 保有セキュリティ資格
GIAC GXPNCisco Cybersecurity SpecialistCEH MasterCEH Practical
Cyber Security Professional CertificateOSCPOSCP+CPENTOSWP
eCPPTeMAPTCRTSSOC-100PEN-100
HTB Offshore Penetration Tester(Level 3)

弊社サービスをご利用いただいたお客様の声

大規模リニューアルのリリース判断を支えたセキュリティリスクの客観的な整理(ニッポンインシュア株式会社)

ニッポンインシュア株式会社

Cloud Insureの大規模リニューアルに伴い、CyberCrewのセキュリティ診断・ペネトレーションテストを導入したニッポンインシュア株式会社様の事例をご紹介します。

事例の詳細を見る

決め手はコスパと柔軟性、投資対効果の高いセキュリティ検証(ソースネクスト株式会社)

ペネトレーションテスト

ソースネクストの導入事例。圧倒的なコストパフォーマンスと、準備工数を最小限に抑えた柔軟なペネトレーションテストの成果を公開。

事例の詳細を見る

安心感をもたらしたペネトレーションテスト活用(株式会社ハンモック)

ペネトレーションテスト

株式会社ハンモックにおけるペネトレーションテストの導入事例です。ペネトレーションテストを活用し、安心感のあるセキュリティ対策を実現した取り組みをご紹介します。

事例の詳細を見る

社内負荷を最小限に抑え、実効性あるセキュリティ体制を構築(株式会社FUNDINNO)

ペネトレーションテスト 株式会社FUNDINNO

株式会社FUNDINNOにおけるペネトレーションテストの導入事例です。社内負荷を最小限に抑えながら、実効性のあるセキュリティ体制を構築した取り組みについてご紹介します。

事例の詳細を見る


Page Top