CISAは、連邦機関およびさまざまな州・地方自治体での潜在的な侵害に対応しています。
セキュリティ研究者によると、Microsoft SharePointのToolShell脆弱性に関連する世界的なハッキングキャンペーンによって、世界中で数百のシステムが侵害されています。
Shadowserver Foundationは、Eye SecurityおよびNIVDとともに収集したデータを引用し、300件以上の被害を確認したと発表しました。
さらに、10,700以上のSharePointインスタンスが依然として公開されたままであると、Shadowserverは述べています。
米国当局は、Microsoftが一部を中国支援のハッカーに関連付けているこの悪用の影響を引き続き評価しています。
「CISAは、Microsoftおよび連邦政府やその他のパートナーと緊密に連携し、MicrosoftオンサイトSharePointサーバーに影響を与える複数の脆弱性の積極的な悪用への対応と緩和に取り組み続けています」と、CISAのサイバーセキュリティ担当代理執行補佐ディレクター、クリス・ブテラ氏は述べました。「『ToolShell』として公表されているこの悪用は、システムへの不正アクセスを可能にし、悪意のある攻撃者がSharePointコンテンツ(ファイルシステムや内部構成を含む)に完全にアクセスし、ネットワーク経由でコードを実行できるようにします。」
CISAは、ToolShellの開発につながった2つの重大な脆弱性(CVE-2025-49704およびCVE-2025-49706)を、既知の悪用脆弱性カタログに追加しました。
同庁はまだインシデント対応の初期段階にあり、攻撃の全容と影響範囲を評価しています。連邦当局は、CISAが侵害された可能性のある連邦機関や州・地方自治体を把握しており、影響範囲の評価と潜在的な影響の緩和に向けて協力していることを確認しました。
ハッカーはSharePointの脆弱性を通じて国家核安全保障局(NNSA)に侵入したとBloombergが報じていますが、機密情報や分類情報にアクセスした証拠はありません。同庁は米国の核兵器備蓄の管理を担当しています。ハッカーはまた、国家核安全保障局を擁する米国エネルギー省の他の部門にも侵入しました。
エネルギー省の担当者は、コメントの要請にすぐには応じませんでした。
最新情報をチェック。Cybersecurity Diveの無料日刊ニュースレターを購読しましょう
Microsoftは火曜日、初期のSharePoint攻撃の多くの背後にいる国家支援ハッカー2組を「Linen Typhoon」と「Violet Typhoon」と特定しました。また、同社は「Storm-2603」として追跡している第3の脅威アクターも攻撃に関与しているが、その動機は不明であると述べています。