弱いままのExchange server

Exchange serverは、スケジュールの共有管理やメールを統合するサーバーアプリケーションです。
いろいろな組織で採用されて利用されていることと思います。
オンラインで利用できるものや同じ目的を実現できるものが他にも多数ありますが、オンプレミスでExchange serverを動作させている組織も多くあります。
Exchange serverは、大きなアプリケーションで高機能です。
高機能なものですので、多数の脆弱性が発見されることになります。
実際に利用している組織ではこれらは適切に対策されているでしょうか。

いろいろな国や地域でExchange serverは利用されていると思いますが、例としてドイツの状況を見てみましょう。

• 公開されている
  Exchange serverは、いろいろな場所から利用できるほうが利便性が向上します。
  約45,000台のExchange serverが外部に公開された状態で動作しています。
• 古い状態で動作している
  約25%のExchangeが古いパッチバージョンの状態で運用されています。
  これらのサーバは、Exchange server2016やExchange server2019を利用していて、Exchange server2013よりも新しいものとなりますが、最新のパッチバージョンとなっていません。
  この状態にあるサーバが11,000台以上あるということになります。

Exchange serverでは、どのくらいのパッチが提供されているのでしょうか。

• Exchange server 2013のパッチバージョン
  2024年3月29日時点で、Exchange server 2013には、42個のパッチバージョンが存在します。
  このアプリケーションはリリースされてから長い時間が経過していて、現在すでに新しいパッチはリリースされない状態になっています。
  最後にパッチがリリースされたのは、2023年3月14日です。
• Exchange server 2016のパッチバージョン
  2024年3月29日時点で、Exchange server 2016には、68個のパッチバージョンが存在します。
  このアプリケーションはリリースされてから長い時間が経過していますが、現在もメンテナンスされていて、パッチがリリースされる対象になっています。
• Exchange server 2019のパッチバージョン
  2024年3月29日時点で、Exchange server 2019には、65個のパッチバージョンが存在します。
  このアプリケーションはリリースされてから長い時間が経過していますが、現在もメンテナンスされていて、パッチがリリースされる対象になっています。

古くにリリースされたアプリケーションは、リリースされた順に、いずれサポート対象からはずれることになるでしょう。

タイムリーにパッチを適用することは重要です。
しかし、それだけでは十分ではありません。
そのアプリケーションはサポート中であるのかどうか、そのアプリケーションのサポートはいつまでなのか、これらを把握することが必要です。
焦って対策する必要がある事態になってしまわないように、移行計画を進めるようにしていこうと思います。

参考記事（外部リンク）：German cyber agency warns 17,000 Microsoft Exchange servers
are vulnerable to critical bugs
therecord.media/germany-bsi-microsoft-exchange-vulnerability-warning

参考記事（外部リンク）：Exchange Server のビルド番号とリリース日
learn.microsoft.com/ja-jp/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019