概要
Microsoft Exchange Server に 安全 でない デシリアライゼーション に 起因 する リモート コード 実行(RCE)脆弱性 が 存在 します。2023年 に 公開 された CVE です が、2026年4月 に Microsoft の セキュリティ ブログ で Storm-1175 脅威 グループ が Medusa ランサムウェア 作戦 に おいて この 脆弱性 を 悪用 して いる と 報告 され、NVD 情報 が 更新 されました。
デシリアライゼーション 脆弱性 は、シリアライズ された データ を オブジェクト に 復元 する 際 に 適切 な 検証 が 行われない こと で 発生 します。攻撃者 は 悪意 の ある シリアライズ データ を Exchange Server に 送信 する こと で、サーバー 上 で 任意 の コード を 実行 できる 可能性 が あります。
CISA KEV(Known Exploited Vulnerabilities)にも 登録 されて おり、実際 の 攻撃 で の 悪用 が 確認 されて います。Storm-1175 は Microsoft が 追跡 する 脅威 アクター で、Web に 公開 された 脆弱 な アセット を 標的 に した Medusa ランサムウェア の 大規模 な 運用 を 行って いる と 報告 されて います。
Exchange Server を オンプレミス で 運用 して いる 組織 は、パッチ 適用 状況 を 再確認 し、侵害 の 兆候(IoC)が ない か ログ を 精査 する こと を 推奨 します。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.8(High) |
| CWE | CWE-502(安全 でない デシリアライゼーション) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑性 | 低 |
| 必要 な 特権 | 低 |
| ユーザー 関与 | 不要 |
影響 を 受ける ソフトウェア
| 製品 | 影響 |
|---|---|
| Microsoft Exchange Server | パッチ 未 適用 の バージョン |
修正 バージョン と 回避策
Microsoft が 提供 する セキュリティ 更新 プログラム を 適用 してください。2023年2月 の Patch Tuesday で 修正 されて います が、未 適用 の 環境 は ランサムウェア の 標的 に なる 可能性 が あります。Exchange Online は この 脆弱性 の 影響 を 受けません。
関連 リンク
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。