【重要:パートナーの皆様へ】Exchange サーバーのセキュリティ更新に関するガイダンス

この記事はMicrosoft Partner Network blog に掲載された記事 Guidance for partners on critical Exchange Server security updates – Microsoft Partner Networkの翻訳です。最新情報についてはリンク元のページをご参照ください。

2021年3月2日(火)、マイクロソフトは、我々がHafniumと呼んでいる民族国家関連グループによって悪用されている複数のオンプレミス型Microsoft Exchange Serverのゼロデイ脆弱性に対するセキュリティアップデートをリリースしました。この脆弱性は、Microsoft Exchange Serverに影響を与えます。Exchange Onlineは影響を受けません。

影響を受けるバージョンは以下の通りです。

Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Microsoft Exchange Server 2010 は、Defense in Depth を目的としたアップデートが行われています。


この状況の影響を最小化または回避するために、マイクロソフトでは、お客様が所有している、またはお客様のために管理しているオンプレミスの Exchange デプロイメントにアップデートを適用するか、またはお客様に必要な手順を通知するよう、早急に対応することを強くお勧めしています。インターネットからアクセス可能なサーバー(例えば、Outlook を Web/OWA および ECP で公開しているサーバーなど)を優先してください。

詳細情報とガイダンス

最新情報については、Microsoft Security Response CenterとExchange Teamのブログを必ずお読みください。

Microsoft Security Response Center blog
Exchange Team blog
Hafnium Targeting Exchange
Microsoft on the Issues
CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065


下記は既知の攻撃とは無関係です。

CVE-2021-26412
CVE-2021-26854
CVE-2021-27078