パッチ適用後も継続的攻撃、対象の Barracuda ESG の交換呼びかけ | ScanNetSecurity
2026.07.05(日)

パッチ適用後も継続的攻撃、対象の Barracuda ESG の交換呼びかけ

JPCERT/CCは、「Barracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
キャンペーン期間中に確認されたUNC4841の活動(青)と被害組織(赤)
キャンペーン期間中に確認されたUNC4841の活動(青)と被害組織(赤) 全 1 枚 拡大写真

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は9月5日、「Barracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起」を発表した。米連邦捜査局(FBI)による注意喚起や、Mandiantが公表した追加の分析レポートなどを受けたもの。

 Barracuda ESGアプライアンスのバージョン 5.1.3.001から9.2.0.006までには、リモートコマンドインジェクションの脆弱性(CVE-2023-2868)が存在する。この脆弱性が悪用されると、ESG製品の管理者権限でシステムコマンドを不正に実行される可能性がある。なお、この脆弱性は細工されたTARファイルを添付したメールを受信するだけで発動する。

 この脆弱性に対し、中国系脅威グループ「UNC4841」が2022年11月初旬からグローバル・スパイ・キャンペーンを行っていたとMandiantが調査報告を公開している。Barracudaは2023年5月20日に同脆弱性を解消するパッチをリリースしているが、一連の修正対応後も継続的な攻撃活動が行われている。

 Mandiantによると、パッチの適用後も侵害を受けているESGアプライアンスは全体の5%と限定的であるが、対象のアプライアンスを使用しているユーザー組織では新たなバックドアが設置されたり、ネットワーク上で横展開したりするなど、攻撃者が永続性を確保しようとする攻撃活動が確認されている。

 FBIでは、影響を受けたすべてのESGアプライアンスを直ちに分離、交換し、ネットワークが侵害の指標リストに接続されていないかを直ちにスキャンすることを強く推奨している。Mandiantでは、パッチの公開後も大きな攻撃の波が複数回発生しており、対応策が公開されるたびに攻撃者はTTPを変更し、ツールキットを修正し続けていると指摘している。

 JPCERT/CCでは、2023年6月時点でBarracuda Networksなどから示された対策に加えて、以下の対応を推奨している。

・同製品から発生する外部への通信の調査
・同製品が稼働するネットワーク内の調査
・同製品内に保存されていた情報の調査および対処の検討

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  5. 日本製鉄ホームページで不審な認証画面

    日本製鉄ホームページで不審な認証画面

ランキングをもっと見る
PageTop