米国核兵器機関、Microsoft SharePoint攻撃でハッキング被害

正体不明の脅威アクターが、最近修正されたMicrosoft SharePointのゼロデイ脆弱性チェーンを悪用した攻撃で、国家核安全保障局（NNSA）のネットワークに侵入しました。

NNSAは、米国エネルギー省の一部である準独立の政府機関であり、国内の核兵器備蓄の維持や、米国内外での核・放射線緊急事態への対応を担っています。

エネルギー省の広報担当者は、ハッカーが先週NNSAのネットワークにアクセスしたことを声明で認めました。

「7月18日金曜日、Microsoft SharePointのゼロデイ脆弱性の悪用がエネルギー省、NNSAを含む複数の機関に影響を及ぼし始めました」とエネルギー省報道官のベン・ディートリッヒ氏はBleepingComputerに語りました。「当省はMicrosoft M365クラウドの広範な利用と非常に優れたサイバーセキュリティシステムのおかげで、影響は最小限に抑えられました。」

ディートリッヒ氏はさらに、「影響を受けたシステムはごく少数」であり、「すべての影響を受けたシステムは復旧中です」と付け加えました。

Bloombergが最初に報じたように、機関内部の情報筋も、今回の侵害で機密情報や重要情報が漏洩した証拠はないと述べています。

また、ロシア連邦対外情報庁（SVR）のハッキング部門であるAPT29（ロシア国家支援の脅威グループ）も、2019年にトロイの木馬化されたSolarWinds Orionアップデートを利用して米国核兵器機関に侵入しています。

攻撃は中国国家系ハッカーに関連、400台超のサーバーが侵害

火曜日、MicrosoftとGoogleは、Microsoft SharePointのゼロデイ脆弱性チェーン（ToolShellとして知られる）を標的とした大規模攻撃が、中国国家支援のハッカーグループに関連していると発表しました。

「Microsoftは、中国の国家系アクターであるLinen TyphoonおよびViolet Typhoonが、インターネットに公開されたSharePointサーバーを標的にこれらの脆弱性を悪用していることを確認しました」とMicrosoftは述べています。

「さらに、Storm-2603として追跡されている中国拠点の別の脅威アクターもこれらの脆弱性を悪用していることを確認しています。他のアクターによる同様の悪用についても調査が継続中です。」

オランダのサイバーセキュリティ企業Eye Securityは、金曜日にこのゼロデイ攻撃を初めて検知し、すでに54以上の組織（国家機関や多国籍企業を含む）が侵害されていると発表しました。

その後、サイバーセキュリティ企業Check Pointは、7月7日まで遡る悪用の兆候を発見し、北米および西ヨーロッパの数十の政府、通信、テクノロジー関連組織が標的となっていたことを明らかにしました。

その後、Eye SecurityのCTOであるピート・ケルコフス氏はBleepingComputerに対し、「すでに多くの組織が長期間にわたり侵害されている」と述べ、被害組織数はさらに多いとしています。同社の統計によると、これらの攻撃の背後にいる脅威アクターは、すでに少なくとも400台のサーバーにマルウェアを感染させ、世界で148の組織に侵入しています。

CISAもまた、ToolShellエクスプロイトチェーンの一部であるCVE-2025-53770リモートコード実行の脆弱性を悪用された脆弱性カタログに追加し、米連邦機関に対して1日以内のシステム保護を命じました。

2025年7月23日 12:18 EDT更新： エネルギー省の声明を追加しました。