悪意あるInternet Information Services(IIS)モジュールによって、Outlook on the webが、ログイン情報を盗むためのツールとして、またリモートアクセスパネルとして利用されることが判明しました。当社のリサーチャーが「OWOWA」と名付けたこのモジュールは、正体不明のアクターによって標的型攻撃に使用されています。
攻撃者がOutlook on the webに興味を示す理由
Outlook on the webは、MicrosoftのPersonal Information Manager(PIM)にアクセスするためのWebインターフェイスで、以前は「Exchange Web Connect」「Outlook Web Access」または「Outlook Web App(OWA)」の名称で呼ばれていました。Outlook on the webはIISが動作するWebサーバー上に配置されます。
多くの企業では、Outlook on the webを使用して、専用のクライアントをインストールしなくても会社のメールボックスとカレンダーに社員がリモートアクセスできるようにしています。Outlook on the webの実装方法はいくつかありますが、そのうちの一つはExchange Serverを使用する方法で、サイバー犯罪者が目を付けたのはそこでした。理論上、このアプリケーションの制御を握れば会社の全メールにアクセス可能となり、会社のインフラに対する攻撃をいくらでもできるようになるほか、ビジネスメール詐欺(BEC)を仕掛けることも可能となります。
OWOWAの仕組み
OWOWAは、セキュリティを侵害されたIIS Webサーバーに、互換性のあるアプリすべてを対象とする一つのモジュールとしてロードされます。その目的は、OWAに入力されたログイン情報を傍受することです。OWOWAはOutlook on the Webのログインページ上でのリクエストと応答をチェックし、ログイン情報が入力されて応答として認証トークンが受信されたことを確認すると、ユーザー名とパスワードを(暗号化された形で)ファイル内に書き込みます。
攻撃者はさらに、同じログインフォームを通じて機能を直接コントロールできます。ユーザー名フィールドとパスワードフィールドに特定のコマンドを入力することで、攻撃者は集めた情報の入手、ログファイルの削除、またはPowerShellを通じてサーバー上での任意コードの実行が可能です。
このモジュールの技術的詳細および侵害の痕跡(IoC)については、Securelistの記事(英語)をご覧ください。
OWOWA攻撃の被害
当社のエキスパートは、サーバーに対するOWOWAベースの攻撃をマレーシア、モンゴル、インドネシア、フィリピンで検知しました。しかし、このサイバー犯罪者たちが欧州の組織にも関心を持っていると見られる根拠もあります。
標的のほとんどは政府関連組織で、1つは国有の運輸企業でした。
OWOWA対策
IIS Webサーバー上に存在するOWOWAモジュールは、appcmd.exeコマンドまたは通常のIIS構成ツールを使用して検知することができます。しかし、インターネットに接しているサーバーは、通常のコンピューターと同様に保護が必要であることには、常に留意する必要があります。