Rackspace の Hosted Exchange にランサムウエア攻撃：M 365 への退避などで対応

Rackspace warns of phishing risks following ransomware attack

2022/12/09 BleepingComputer — 12月8日 (木) にクラウド・コンピューティング・プロバイダーの Rackspace は、同社の Microsoft Exchange ホスティング環境がランサムウェア攻撃を受けたことを受け、フィッシング攻撃のリスクが高まっていると、顧客に警告を発した。同社では、いまも調査が継続されており、影響を受けたシステムの復旧に取り組んでいるが、サイバー犯罪者が、このインシデントを悪用する可能性もあるとしている。

Rackspace は、「もし、見覚えのない個人からメッセージを受け取った場合には、返信しないでほしい。コントロール・パネルにログインし、受信したメッセージの詳細を含むチケットの作成を推奨する。このような連絡により、心配をかけてしまうが、現在のところ、このような接触により顧客のリスクが高まるという証拠はない」と述べている。

Rackspace は、顧客は機密情報を盗もうとする詐欺師は、簡単に見抜くことができると付け加えている。Rackspace からのメールは @rackspace.com から送信される。ただし、攻撃者が偽装したメールアドレスを使用し、ターゲットをフィッシング・ページにリダイレクトする可能性がある。同社のサポートが、ログイン情報や個人情報 (社会保障番号や運転免許証など) を電話で尋ねることはない。

Rackspace は、侵入に成功した攻撃者が、同社のシステムからデータを盗んだという証拠については明らかにしていない。ただし、顧客は引き続き警戒し、クレジット・レポートや銀行口座の明細を監視し、疑わしい動きを確認するようアドバイスを受けている。

また、一部の顧客は、今回のランサムウェア攻撃の発生以降に、Rackspace を装うフィッシング・メールの増加を報告している。

Rackspace へのランサムウェア攻撃およびシステム停止の影響を受けた顧客は、疑わしいメールの添付ファイルのオープン、および、疑わしいリンクのクリックを、行わないよう注意してほしい。

攻撃者の身元や侵入時の行動に関する詳細は不明

Rackspace は、現在進行中の Exchange ホスティング障害の背後に、ランサムウェア攻撃の存在を確認して以来、攻撃者の身元や、不正にアクセスされたデータ、流出したデータについて、詳細を提供していない。

同社は、「サイバー防衛企業の協力を得て、社内のセキュリティ・チームが実施した調査は初期段階にあり、影響を受けたデータの酒類などについては情報がない」と述べている。このクラウド・サービス・プロバイダーは、脅威アクターが顧客の機密情報にアクセスした証拠を見つけた場合、その顧客に通知すると付け加えている。

Rackspace は、プレスリリースおよび、火曜日に米国証券取引委員会に提出した 8-K 報告書において、「このランサムウェア攻撃の影響により、年間で約 $30 million の売上を計上している、Hosted Exchange 事業の収益が減少する見込みだ。Rackspace Technology は、今回のインシデント対応に関連する費用の増分を、負担する可能性がある」と明らかにしている。

Rackspace は、今回の Hosted Exchange のセキュリティ・インシデントについて、ランサムウェア攻撃であることを公表しなかったこと、顧客のデータを保護しなかったこと、メールサービスの停止が顧客のビジネスに与えたことを理由に、複数の集団訴訟にも直面している。

12月2日 (金) の夜から、Rackspace は影響を受けた顧客に対して、Microsoft Exchange Plan 1 のライセンスと、障害に対処する間の Microsoft 365 への移行について、詳細なインシデント・レポートを提供している。

また、Microsoft 365 へ移行するという一時的な解決策として、Hosted Exchange ユーザーに送信された全メールを、自動的に外部のメールアドレスに転送する、転送オプションを提供している。

Rackspace の Hosted Exchange に対するランサムウェア攻撃が発生し、同社は対応に追われているとのことです。現時点においても、どのランサムウェアなのかは判明していませんが、12月19日の CPO Magazine によると、Microsoft Exchange の脆弱性 ProxyNotShell (CVE-2022-41040／CVE-2022-41082) が悪用されたとのことです。よろしければ、ProxyNotShell で検索も、ご利用ください。