Rackspace続報：ランサムウェア「ゼロデイ」エクスプロイトが原因、Hosted Exchangeの復活は無し

Data Center Dynamics
2023.01.09
1,009 views

Rackspaceは、Hosted Exchangeサービスにおける大規模なセキュリティ事故は「ゼロデイ」エクスプロイトが原因であり、顧客データの復旧を続ける一方で、サービスの復活は行わないことを発表しました。

12月5日、RackspaceはHosted Exchange環境で大規模な障害に見舞われました。当初、同社はこの問題の原因を未公表の「セキュリティ・インシデント」のせいにしていましたが、後にランサムウェアの攻撃であることを明らかにしました。サービス停止中にもかかわらず、2週間以上経ってからデータ復旧作業が開始されました。

PLAY ランサムウェアがゼロデイを使用

年明けに同社はステータスページの長文の更新で、攻撃の根本的な原因を説明し、顧客のデータ復旧作業についてさらなる更新を行い、Hosted Exchangeサービスを復活させないことを確認しました。

Rackspaceは、今回の事件の根本的な原因がProxyNotShellエクスプロイトの結果であるという推測について、同社はそうでないと「決定的に言える」と述べています。

「フォレンジック調査の結果、PLAYと呼ばれるサイバー犯罪者は、Rackspace Hosted Exchangeメール環境への最初のアクセスを得るために、これまで知られていなかったセキュリティエクスプロイトを使用したことが判明しました」と、同社は述べています。「このゼロデイ攻撃は、CVE-2022-41080に関連するものです。マイクロソフトは、CVE-2022-41080を特権昇格の脆弱性として開示し、悪用可能なリモートコード実行チェーンの一部であることの注記は含まれていません。」

マイクロソフトによって発見された CVE-2022-41080 は、Exchange Server の権限昇格の脆弱性で、攻撃者が Exchange Server の他のユーザーになりすまし、サービスを制御することを可能にします。ラックスペースの事件が発生する前の11月に公開された際には、高い深刻度スコアが与えられていました。マイクロソフト社からパッチが提供されています。

しかし、CrowdStrikeが12月20日に発表した最新情報によると、CVE-2022-41080は、複数のPlayランサムウェア事件の調査後、Outlook Web Access（OWA）を介してリモートコード実行（RCE）を達成するために使用できることが判明しています。

セキュリティ企業Avertiumによると、Playランサムウェア（別名：PlayCrypt）は、2022年6月に登場した新しいランサムウェアです。中南米、ヨーロッパ、インドの組織を標的としています。残されたランサムウェアのメモには、PLAYという一語とグループの連絡先メールアドレスが含まれ、ファイル暗号化後に拡張子.playが追加されます。研究者は、HIVE、Quantum、Nokoyawaランサムウェアと同様の動作や手口を指摘しています。また、このグループは、データを流出させることも知られています。

RackspaceのHosted Exchangeの復旧

Rackspaceによると、当時Hosted Exchangeメール環境を利用していた約3万人の顧客のうち、攻撃者が27人のHosted Exchange顧客のPST（Personal Storage Table）にアクセスしたことが同社の調査により判明したといいます。Rackspaceは、これら27の顧客全員と連絡を取ったといわれています。

「CrowdStrikeによると、攻撃者が27のHosted Exchange顧客のPST内のメールやデータを実際に閲覧、入手、悪用、拡散した形跡は一切ない」と更新は記しています。「Rackspaceのチームから直接連絡がなかったお客様は、脅威行為者によってPSTデータにアクセスされていないことを保証します」と述べています。

復旧の面では、Rackspaceは、影響を受けた顧客の「半分以上」がデータの「一部または全部」をダウンロードできるようにしているが、そのうち実際に利用可能になったメールボックスをダウンロードした顧客は5％未満であると述べています。

「このことは、多くのお客様がデータをローカルにバックアップしているか、アーカイブしているか、あるいは過去のデータを必要としていないことを示しています」と、同社は述べています。「しかしこれと並行して、データのダウンロードを希望されるお客様のために、オンデマンドソリューションの開発を進めており、2週間以内に利用可能になる予定です。」

同社は顧客のデータを保存するための復旧作業を続けていますが、サービスそのものは復旧されません。Hosted Exchangeメール環境は、今後のサービス提供として再構築されることはないとのことです。

「今回のセキュリティインシデント以前から、Hosted Exchangeのメール環境は、より柔軟な価格設定と最新の機能を備えたMicrosoft 365への移行がすでに計画されていました」とRackspaceは述べています。

Hosted Exchangeの顧客は、Office 365またはRackspace Emailへの移行を選択することができます。

「Hosted Exchangeメール環境は当社のビジネスのごく一部ではありますが、当社が深く評価する何千もの長年の忠実なお客様を代表しています。Hosted Exchangeのお客様には、このプロセスを通じて私たちを忍耐強く信頼し続けていただいたことに心から感謝するとともに、長年にわたって築いてきたお客様との関係を維持するために今後も努力してまいります。」

この記事は海外Data Centre Dynamics発の記事をData Center Cafeが日本向けに抄訳したものです。