外国勢力がMicrosoftのSharePointブラウザベースアプリの脆弱性を通じて、国家核安全保障局(NNSA)のカンザスシティ国家安全保障キャンパスに侵入し、連邦のIT/OTセキュリティ保護のさらなる強化の必要性が問われている。
関係者によると、外国の脅威アクターが、国家核安全保障局(NNSA)の主要製造拠点であるカンザスシティ国家安全保障キャンパス(KCNSC)に、未修正のMicrosoft SharePointの脆弱性を悪用して侵入したという。これは8月に施設で行われたインシデント対応に関与した情報筋によるものだ。
この侵害は、NNSAのもとで米国の核兵器用の重要な非核部品の大部分を製造する工場を標的とした。NNSAはエネルギー省(DOE)内の半自律的な機関で、国家の核兵器の設計、製造、保守を監督している。ハネウェル連邦製造技術(FM&T)がNNSAとの契約のもと、カンザスシティキャンパスを管理している。
カンザスシティキャンパス、ハネウェルFM&T、エネルギー省は、9月を通じて繰り返しコメント要請に応じなかった(現政府閉鎖のはるか前のこと)。NSA広報担当のエディ・ベネット氏は「貢献できることはありません」と回答し、CSOをDOEに差し戻した。
攻撃者が中国の国家アクターかロシアのサイバー犯罪者かは不明だが(最も可能性の高い2つの容疑者)、専門家はこの事件が主にITシステムに影響を与える脆弱性から運用技術(OT)を守るシステムの重要性を改めて示したと指摘する。
侵害の経緯
攻撃者は、最近公表された2つのMicrosoft SharePointの脆弱性—CVE-2025-53770(なりすましの脆弱性)とCVE-2025-49704(リモートコード実行バグ)—いずれもオンプレミスサーバーに影響するものを悪用した。Microsoftは7月19日に修正パッチを提供した。
7月22日、NNSAはSharePointの脆弱性による攻撃を受けた組織の一つであることを認めた。「7月18日金曜日、Microsoft SharePointのゼロデイ脆弱性の悪用がエネルギー省に影響を与え始めました」とDOEの広報担当者は述べた。
しかしDOEは当時、「当省はMicrosoft M365クラウドの広範な利用と非常に優れたサイバーセキュリティシステムにより、影響は最小限でした。影響を受けたシステムはごくわずかで、すべて復旧中です」と主張した。
8月初旬には、NSAの職員を含む連邦の対応者がカンザスシティ施設に現地入りしていたと情報筋はCSOに語った。
ミズーリ州に位置するKCNSCは、米国の核防衛システムで使用される非核の機械部品、電子部品、工学材料部品を製造している。また、冶金分析、分析化学、環境試験、シミュレーションモデリングなどの専門技術サービスも提供している。
国家の核兵器備蓄に含まれる非核部品の約80%がKCNSCから供給されている。設計やプログラムの詳細の多くは依然として機密扱いだが、同工場の製造拠点としての役割は、連邦兵器複合体の中でも最も機微な施設の一つとなっている。
中国かロシアか?帰属を巡る対立
Microsoftは、SharePointの脆弱性を悪用した広範な攻撃を中国系の3つのグループ(Linen Typhoon、Violet Typhoon、Storm-2603)に帰属させている。同社によれば、攻撃者はWarlockランサムウェアを影響を受けたシステムに展開しようとしていたという。
しかし、カンザスシティの事件に詳しい情報筋はCSOに、侵入を行ったのは中国ではなくロシアの脅威アクターだったと語った。SharePointの悪用を監視していたサイバーセキュリティ企業Resecurityは、自社データは主に中国の国家グループを示しているが、ロシアの関与も否定できないとCSOに述べている。
Resecurityの研究者によれば、中国のグループが最初のゼロデイを開発・展開した一方で、金銭目的のロシア系アクターも技術的詳細が6月下旬に流通し始める前に独自にエクスプロイトを再現した可能性があるという。
5月、Viettel Cyber Securityの研究者がPwn2Own Berlinで、SharePointの2つの脆弱性(CVE-2025-49706とCVE-2025-49704)を組み合わせた攻撃を実演した。Resecurityの研究者は、そのデモが複数の脅威アクターによる脆弱性のリバースエンジニアリングを加速させた可能性が高いとCSOに語った。
Resecurityのアナリストは、台湾、ベトナム、韓国、香港にあるインフラからの初期段階のスキャンおよび悪用活動を観測しており、これは中国の高度持続的脅威(APT)グループが帰属を隠すために使う戦術と一致している。
「SharePointの悪用の根本原因は、中国によるMicrosoft Active Protections Program(MAPP)の悪用と密接に関連しています」とResecurityの研究者はCSOに語った。「最も可能性が高いのは、Linen TyphoonやViolet Typhoonなど中国の国家アクターです。」
それでも、ロシア拠点の脅威アクターが早期に脆弱性の知識を得たもう一つの方法は、アンダーグラウンドでの情報交換や、エクスプロイトが知られるようになった後のネットワークスキャンデータの分析だった可能性もあるという。ゼロデイからNデイへの移行が、パッチ未適用のシステムを二次的なアクターが悪用する隙を生んだと彼らは述べている。
攻撃は運用システムに到達し得たか?
侵害はカンザスシティキャンパスのIT側を標的としたが、この侵入は攻撃者が施設の運用技術(OT)システム、すなわち兵器部品製造を直接支える製造・プロセス制御環境に横展開できたかどうかという疑問を投げかけている。
CSOの取材に応じたOTサイバーセキュリティ専門家は、KCNSCの生産システムはエアギャップされているか、企業ITネットワークから隔離されている可能性が高く、直接的な横断リスクは大幅に低減されていると述べる。それでも、こうした隔離が安全を保証するとは限らないと警鐘を鳴らす。
「国家アクターがITの脆弱性をどのように悪用して運用技術にアクセスするかを本当に考え抜く必要があります」とJen Sovada氏(Clarotyの公共部門オペレーション担当ゼネラルマネージャー)は、特定の事件についてではなく一般論としてCSOに語った。
「KCNSCのように核兵器のライフサイクル管理(設計、製造、緊急対応、廃棄、サプライチェーン管理)を行う施設では、複数の機能が相互に連携しています」とSovada氏。「もしアクターが横展開できれば、非核兵器部品のロボットや精密組立装置を動かすプログラマブルロジックコントローラーに影響を与える可能性があります。」
このようなアクセスは、品質保証を監督する分配制御システムや、ユーティリティ、電力、環境制御を管理するSCADA(監視制御・データ収集)システムにも影響を及ぼす可能性があるとSovada氏は付け加える。「単なるITの脆弱性以上の問題です」と彼女は述べた。
IT/OTの融合とゼロトラストのギャップ
カンザスシティの事件は、連邦組織全体に共通する構造的な問題、すなわちITとOTのセキュリティ慣行の断絶を浮き彫りにしている。連邦政府は従来型ITネットワーク向けのゼロトラストロードマップを進めてきたが、運用環境向けの同様の枠組みは遅れており、最近になってようやく進展が見られる。
「ゼロトラスト、セグメンテーション、認証、ID管理のすべてのコントロールをマッピングしたITファンチャートがあります」とSovada氏。「しかし、国防総省が開発中のOTファンチャートは、運用技術におけるゼロトラストのための同等のコントロールを定義する予定です。目標は両者を統合し、すべてのネットワークタイプで包括的なゼロトラストを実現することです。」
その整合性こそが、KCNSCを襲ったような侵入が物理的な運用に波及するのを防ぐために不可欠だと彼女は述べる。
非機密データの窃取でも戦略的価値がある
情報筋のロシア関与説が正しければ、攻撃者は国家情報機関ではなく金銭目的のランサムウェアオペレーターだった可能性がある。しかしその場合でも、彼らがアクセスしたデータには戦略的価値があるかもしれない。
「もしランサムウェアアクターが核兵器製造に関するこの種のデータを入手した場合、いったん手を止めてしかるべきロシア政府関係者や専門家に渡す可能性は十分に考えられます」とSovada氏はCSOに語った。
機密情報が漏洩した証拠はないが、非機密の技術データでも重大な意味を持ち得る。「それは単に、部品に要求される精度レベルを示すだけの要求仕様書かもしれませんが、機密扱いでなくても重要です」とSovada氏。「兵器製造では、1ミリの違いが装置の軌道や起爆機構の信頼性を左右することがあります。」
こうした情報は、米国の兵器の許容誤差、サプライチェーン依存性、製造プロセスの理解に敵対者が役立てる可能性があり、正式な機密でなくとも機微なものだ。
侵入者が中国の国家アクターであれロシアのサイバー犯罪者であれ、カンザスシティの侵害は、重要な防衛インフラにおけるITと運用セキュリティの脆弱な接点を露呈させた。Sovada氏が強調するように、「ゼロトラストをITの概念だけと考えてはいけません。国家防衛を支える物理システムにも拡張する必要があります。」
