コンテンツにスキップするには Enter キーを押してください

Microsoft SharePoint攻撃についてわかっていること

投稿日 2025年7月25日

世界中の政府当局やサイバーセキュリティチームが、Microsoft SharePointの重大な脆弱性を標的としたサイバー攻撃の波に対応しています。

この攻撃の波は7月初旬に始まり、先週末に急速に拡大し、政府機関、重要インフラ事業者、その他のSharePoint利用者の重要なシステムに影響を与えました。

侵入者はToolShellを悪用しており、これはリモートコードインジェクションとネットワークスプーフィングの脆弱性を組み合わせた攻撃手法で、CVE-2025-49704およびCVE-2025-49706として追跡されています。

研究者Khoa Dinhが最初にこの攻撃チェーンを発見し、今月初めにCode White GmbHがこの攻撃チェーンの再現に成功しました。

watchTowrのCEO、Benjamin Harrisによると、Microsoftが最初の脆弱性に対して不完全なパッチをリリースしたため、攻撃が激化したようです。

研究者がこれらの脆弱性の悪用をMicrosoftに報告した後、同社は先週末に緊急アドバイザリを発表し、信頼できないデータのデシリアライズに関するCVE-2025-53770という脆弱性を公開しました。さらに、パストラバーサルの脆弱性としてCVE-2025-53771も発表しました。

この攻撃により、世界中のMicrosoft SharePoint利用者が被害を受けており、Shadowserver Foundationは少なくとも300件の侵害が確認されたと報告しています。

ShadowserverはLeakIXのデータを引用し、水曜日時点で424のSharePoint IPが脆弱であることが確認されたと報告しています。Censysの研究者は、9,717台のオンプレミスSharePointサーバーが公開されていることを特定したと述べています。

政府への影響

CISAは、複数の連邦機関および州・地方自治体がこのハッキングにより侵害されたとの報告を調査しています。

「CISAはMicrosoft、影響を受けた機関、重要インフラパートナーと24時間体制で連携し、実行可能な情報の共有、緩和策の適用、防御策の実施、将来の攻撃から守るための予防策の評価を行っています」と国土安全保障省の広報担当者は木曜日にCybersecurity Diveに語りました。

エネルギー省はハッキング被害を認めており、侵入は国家核安全保障局(NNSA)を含むDOEの構成要素に影響を与えました。NNSAは米国の核兵器備蓄を管理する機関です。

国土安全保障省(DHS)もハッキング被害を認めましたが、ハッカーが同省のいずれかの構成要素からデータを持ち出した証拠はないとしています。

最新情報をフォローしましょう。Cybersecurity Diveの無料デイリーニュースレターに登録

ワシントン・ポストは報じましたが、ハッカーは保健福祉省(HHS)も侵害しました。HHSはCybersecurity Diveに対し、SharePointの脆弱性に関連するすべてのリスクを「監視、特定、緩和」していると述べましたが、詳細は明らかにしませんでした。

攻撃の背後にいるのは誰か

Microsoftは、中国政府支援の国家主体であるLinen TyphoonとViolet Typhoonの2つが最初の攻撃の波に関与していると特定しました。研究者らは、悪用が7月7日にはすでに始まっていたと結論付けています。

Linen Typhoonは2012年から活動しており、知的財産の窃取に注力し、政府、国防請負業者、人権団体を標的にしてきました。Violet Typhoonは2015年から活動しているスパイ活動主体で、主に米国、欧州、東アジアのNGO、高等教育機関、メディア、金融会社を標的としています。

Microsoftは、Storm-2603として追跡している中国拠点の第3の攻撃者が、SharePointの脆弱性を利用してランサムウェア攻撃を行っていると述べています。このハッカーグループは過去にWarlockやLockBitランサムウェアを展開しており、7月18日以降SharePointの脆弱性を使ってランサムウェア侵入を行っているとMicrosoftは述べています。また、このグループはSharePointの脆弱性を利用してMachine Keysの窃取も試みており、パッチ適用後もシステムにアクセスできるようにしています。

Googleの研究者によると、今後他のグループもこの脆弱性を悪用する可能性が高く、すでに一部が始めているかもしれません。

緩和策 

Microsoftは、CVE-2025-53770およびCVE-2025-53771に対して顧客を完全に保護するとするセキュリティアップデートをリリースしました。対象製品はSharePoint 2016、2019、SharePoint Subscription Editionです。

同社は、顧客がAntimalware Scan Interfaceの統合を構成し、アップグレード完了後にSharePoint Server ASP.NET Machine Keysをローテーションし、すべてのSharePointサーバーでInternet Information Servicesを再起動するよう推奨しています。Googleの研究者は、攻撃初期段階でハッカーがMachine Keysを窃取したと述べています。

Rapid7の研究者もエクスプロイトモジュールをGitHubに公開しており、CVE-2025-53770およびCVE-2025-53371に対応し、セキュリティチームが自社環境をテストするのに役立ちます。

「現在、広範な悪用が発生しているため、防御側は自社環境内のSharePointサーバーに対して直ちに対応すべきです」とRapid7の主任セキュリティ研究者Stephen Fewerは述べています。「ベンダーのパッチは、通常のパッチサイクルを待たず、緊急で適用することを推奨します。」

翻訳元: https://www.cybersecuritydive.com/news/what-we-know-microsoft-sharepoint-attacks/753961/

Published in cybersecuritydive-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です