マイクロソフトの不完全なSharePointパッチが中国系ハッカーによる世界的な悪用を招く

7月8日に公開されたSharePoint Serverのゼロデイ脆弱性に対するパッチは、7月18日から始まる週末に世界中の約100の組織を標的とした攻撃につながったが、この脆弱性を完全には修正できていなかった。

この脆弱性は5月のハッカーコンペティションでマイクロソフトに報告され、同社は短期間で不完全なパッチを提供したが、その後すぐに実際の攻撃で悪用された。

「今日の状況では、攻撃者は数時間以内にパッチをリバースエンジニアリングできるため、情報公開から完全な修正までの時間が非常に重要なウィンドウとなります」とKeeper SecurityのCISO、Shane Barney氏は述べている。「ベンダーは事前リリーステスト、メモリ安全な言語の使用、部分的または効果のない修正のリスクを減らす現代的なエンジニアリング手法への投資を継続することが不可欠です。」

現在、マイクロソフトとグーグルの両社は、この攻撃が中国系の脅威アクターによるものだと特定しており、オンプレミスのSharePoint導入に関連するセキュリティリスクについて新たな警鐘を鳴らしている。

効果がなかった修正

ゼロデイがベルリンのハッカーコンペティションで明らかになった直後にリリースされた最初のパッチは、実際の悪用を防ぐには不十分だったと、ロイターはマイクロソフトのタイムラインを確認し、広報担当者が修正が完全に機能しなかったことを認めたと報じている。Sophosは報告で、脅威アクターがアップデートをほぼ即座に回避し、公開されたSharePointサーバーが急速に侵害されたと伝えている。

「マイクロソフトの不完全なSharePoint修正は、孤立したミスではありません」とQualysのセキュリティリサーチマネージャー、Mayuresh Dani氏は述べている。「パッチの隙間や初回パッチの失敗は依然として一般的です。これにより、バグがフィッシングの足がかりと連鎖して完全な侵害につながったり、システムの不安定化を引き起こして一部の管理者がパッチ適用を遅らせ、さらなるリスクを長引かせる原因となります。」

その後、マイクロソフトは残る脆弱性を修正するための2回目のパッチを発行した。しかし、情報公開から悪用までの迅速なタイムラインは、脆弱性からパッチまでのプロセスにおける継続的な弱点を露呈した。

マイクロソフトのアドバイザリによると、同社は5月のハッカーコンペティションでの公開を受けて、7月8日にCVE-2025-49704およびCVE-2025-49706として追跡される脆弱性に最初のパッチを適用した。しかし修正は不完全で、攻撃者は同じコードパスを悪用した。マイクロソフトは後に、ゼロデイ脆弱性（現在はCVE-2025-53770およびCVE-2025-53771として追跡）を完全に修正するための2回目のパッチをリリースした。

「ソフトウェアは複雑で高度に相互接続されています。攻撃対象領域が常に完全に理解されているとは限りません」とBugCrowdのCISO、Trey Ford氏は述べている。「そのため、問題を包括的に解決するには修正を繰り返す必要があるのです。」

マイクロソフトはCSOからのコメント要請にすぐには応じなかった。

中国系ハッカーが隙間を突いて悪用

マイクロソフトのブログでは、中国系グループ「Linen Typhoon（APT27）」と「Violet Typhoon（APT31）」、および国家支援が疑われる第3のアクター「Storm-2603」がゼロデイを悪用した可能性が高いと特定している。

GoogleのMandiant CTO、Charles Carmakal氏は、少なくとも1つのアクターを「中国系」とし、スパイ活動の動機を示唆している。

Dani氏によれば、SharePointのようなコラボレーションプラットフォームへのシフトは偶然ではないという。「SharePointは機密文書、ソースコード、人事、法務コンテンツのワンストップショップとして機能します」と彼は述べている。「脅威グループはエッジ機器から内部のコラボレーションプラットフォームへとターゲットを移しました。これらのシステムは機密データと特権ネットワークアクセスの両方を提供するからです。」

「ToolShell」と呼ばれるこのエクスプロイトは、オンプレミスサーバーでのリモートコード実行、鍵の窃取、マルウェアのインストールを可能にする。米国CISAはCVE-2025-53770を既知の悪用脆弱性カタログに追加し、即時の修正を呼びかけている。Barney氏は、国家支援アクターが今やビジネスワークフローに組み込まれていると警告する。「彼らは“王冠の宝石”へのアクセスを狙っています。これらのプラットフォームにはPII（個人識別情報）以上のもの、戦略計画、ソースコード、内部コミュニケーションが格納されています。もはや情報の持ち出しだけでなく、深く持続的なアクセスが目的です。」