「FBI、「Exchange Server」攻撃を受けた未対策サーバのWebシェル削除を“代行”」という記事がでています。

でもって、FBIのプレスリリースの原文は、こちらになります。

これは、Exchange Serverのゼロデイの脆弱性に関するものです。この脆弱性自体に関する記事は、「「Microsoft Exchange Server」の脆弱性、CISAが緊急指令–米政府機関などに対応促す」です。マイクロソフトの探知ツール、パッチなどの情報はこちらのページです。

これらの脆弱性を悪用した攻撃者たちは、中国の攻撃者たちで、マイクロソフト社によるとHAFNIUMと呼ばれています。

技術的な観点はさておくとして、法的な話としては、二つのことが興味深いです。

• FBI-CISA(サイバーセキュリティー・インフラセキュリティー庁)の共同でのアドバイザリを公表していること( Joint Advisory on Compromise of Microsoft Exchange Server)
• FBIが、裁判所の許可を得て、脆弱性の削除をしていること

です。

サイバーセキュリティー・インフラセキュリティー庁については、廣瀬淳子「【アメリカ】サイバーセキュリティー・インフラセキュリティー庁設置」が説明しています。ここで、

合衆国の重要なインフラ等を防護するために、必要な手段を勧告すること。

というのが権限にされているので、これに基づいて勧告がなされているものと考えます。

今一つは、「FBIが、裁判所の許可を得て、脆弱性の削除をしていること」ということですが、何か、そのような正当化の命令とかでもあるのだろうかと思うところです。法的には、脆弱性あるサーバーをその脆弱性を用いてパッチを仕込んで、管理権を有するものの意思に反して「脆弱性」をなくしてしまうということで、日本的には、正当防衛なのか(？)(脆弱性があることはそれ自体と違法とはいえないだろうから)緊急避難なのかなあと思うところです。

でもって、命令といっているのをみてみました。原文は、こちら。

法的な構成としては、捜査官が、脆弱性を有しているコンピュータに対して、HAFNIUMの犯罪の証拠を収集すべく、リモートアクセス技術を利用して、捜索する、ということになっています。

捜査官のコメントは、以下のような感じです。上の令状関係のファイルのうちの捜査官の陳述書です。

20. 本命令は、米国内にあるMicrosoft Exchange Serverを押収し、コピーする権限を米国に与えるものである。
本命令は、米国内に所在するMicrosoft Exchange Serverから添付資料Aに記載されているウェブ・シェルを押収・コピーし、これらのサーバーからウェブ・シェルを削除する権限を米国に与えるものである。上述のとおり、マイクロソフト・エクスチェンジ・サーバーを特定することに加えて、マイクロソフト・エクスチェンジ・サーバーである。(黒塗り)
したがって、米国は、これらのパスワードを使用してウェブ・シェルをアンインストールする技術的能力を有しています。上記の例で言えば、FBIの職員がウェブシェルにアクセスしてパスワードを入力し、証拠となるウェブシェルのコピーを作成してからアンインストールすることができる。
その後、近似したウェブシェルを介してサーバーにコマンドを発行し、ウェブシェル自体を削除することができます。以下は、https://webmail.[domain][.] net/aspnet_client/system_web/ の例です。にある（匿名の）ウェブシェルを介して送信される削除コマンドの例です。
.aspx: del /f “C:inetpub\wwwroot\aspnet_client\system_web\ .aspx.”.
.aspx」というファイル名は、Webシェルのファイル名によって異なります。このコマンドは
このコマンドは、FBI内部のテストプロセスにおいて、FBIサーバーからWebシェルを削除するのに成功しました。他のファイルやサービスへの影響はありませんでした。FBIによるコードの技術評価 コードが被害者のコンピュータに悪影響を及ぼさないことを確認するために、FBIによるコードの技術評価と外部専門家への説明が行われました。被害者のコンピュータおよびその上で動作しているMicrosoft Exchange Serverソフトウェアに悪影響を及ぼさないことを確認するための影響はありませんでした。

ということで、削除代行のための特別な命令があるわけではなくて、捜索令状の執行の方法として、削除が含まれていたということだったわけですが、実務の知恵としては、興味深い案件だということがいえるかと思います。