米政府は、「Microsoft Exchange Server」のハイブリッド構成に脆弱性が確認された問題で、緊急指令「ED 25-02」を発行した。現地時間8月11日までの対応を求めている。

この脆弱性は「Exchange Server」をオンプレミスと「Microsoft 365」でハイブリッド構成としている場合に影響を受けるもの。

4月に提供されたホットフィクスが適用されていないハイブリッド環境では、オンプレミス環境で「Exchange Server」の管理者権限を取得された場合、クラウド環境の「MS365 Exchange Online」に対する横展開が可能となり、影響が大きく拡大する。

この問題で、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が影響の大きさを考慮し、緊急指令「ED 25-02」を発行した。

日本で同環境になる場合は、8月12日に詳細を確認してから対応しましょう。