オンプレミスのMicrosoft SharePointサーバーの欠陥を狙った攻撃が発見されてからほぼ1週間が経過し、その影響は世界中に広がり続けています。世界中で警報が鳴り響いています。Eye Securityによると、4回の攻撃の波で400以上の組織が実際に侵害されました。
エネルギー省、国土安全保障省、保健福祉省を含む複数の政府機関が被害を受けました。カリフォルニア州の卸売電力網の一部を運用するCalifornia Independent System Operatorも影響を受けました。
さらなる被害者が攻撃によるさまざまなレベルの侵害を確認する中、研究者たちは攻撃後の活動について新たな詳細を明らかにし、共有しています。最初の攻撃の波の背後にいる中国拠点の攻撃者Storm-2603は、7月18日からWarlockランサムウェアを展開したと、Microsoft Threat Intelligenceは水曜日の更新ブログ投稿で述べました。
中国政府と関係のある脅威グループLinen TyphoonおよびViolet Typhoon(少なくとも10年以上活動)が、ゼロデイ脆弱性を積極的に悪用しているともMicrosoftは述べています。Linen Typhoonは知的財産の窃盗に注力し、Violet Typhoonはスパイ活動を行う脅威グループです。StormはMicrosoftが開発中の脅威グループに付ける呼称です。
Microsoftによると、Storm-2603が侵害された環境でWarlockランサムウェアを配布するためにポリシー設定を変更しているのが観測されました。攻撃者はまた、侵害されたSharePointサーバーから暗号鍵を盗み出そうとしており、これによりパッチ適用後も被害者環境への持続的なアクセスが可能になる恐れがあります。Microsoftは何件の組織がランサムウェアの被害を受けたかは明らかにしていません。
現在悪用が進行中のゼロデイ脆弱性—CVE-2025-53770およびCVE-2025-53771—は、以前に公開された2つの脆弱性—CVE-2025-49706およびCVE-2025-49704—の亜種であり、Microsoftは今月初めのセキュリティアップデートで対応していました。新たな欠陥発見後、Microsoftは急いでパッチを開発し、月曜日遅くにSharePointの全ての影響バージョン向けにアップデートをリリースしました。
攻撃者が多要素認証やシングルサインオンを回避できる「ToolShell」と呼ばれるエクスプロイトには、新たに発見されたCVE-2025-53770(重大なリモートコード実行脆弱性)およびCVE-2025-53771(セキュリティバイパス脆弱性)が含まれています。
「ToolShell」エクスプロイトチェーンにより、攻撃者はSharePointコンテンツに完全にアクセスし、ネットワーク越しにコードを実行できると、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は述べています。ESET Labsの研究者によると、脅威グループはしばしば4つ全ての脆弱性を連鎖させて組織に侵入します。
CISAは日曜日にCVE-2025-53770を既知の悪用脆弱性カタログに追加し、火曜日にはCVE-2025-47904とCVE-2025-47906をデータベースに追加しました。CISAによれば、CVE-2025-53770はCVE-2025-49704のパッチバイパス、CVE-2025-53771はCVE-2025-49706のパッチバイパスです。
当局者は、連邦政府全体でどの程度の侵害が発生したかについては説明を控えました。
「金曜日にMicrosoft SharePointの脆弱性が特定されると、CISAは初期アラートと2件のサイバーセキュリティアップデートを通じて、迅速に全国的な対応を開始しました」と国土安全保障省の広報担当者は声明で述べました。「CISAはMicrosoft、影響を受けた機関、重要インフラパートナーと連携し、実用的な情報の共有、緩和策の適用、防御策の実施、将来の攻撃から守るための予防策の評価に昼夜を問わず取り組んでいます。」
広報担当者は、潜在的な被害範囲の特定に向けた調査が継続中であるとし、「現時点でDHSまたはその構成組織でデータ流出の証拠はありません」と付け加えました。
国家核安全保障局(NNSA)とともに影響を受けたエネルギー省も、機密情報や分類情報の侵害は認識していません。
Microsoft SharePointのゼロデイ脆弱性の悪用は、金曜日からエネルギー省とNNSAに影響を及ぼし始めました。「当省はMicrosoft 365クラウドの広範な利用と高度なサイバーセキュリティシステムのおかげで、影響は最小限に抑えられました」と同省の広報担当者は声明で述べました。
「影響を受けたシステムはごく少数です。NNSAはリスクを軽減し、必要に応じて他のサービスへの移行を進めるため、適切な対応を取っています」と広報担当者は付け加えました。
保健福祉省は、Microsoft SharePointの脆弱性によるITシステムへのあらゆるリスクの監視、特定、緩和に取り組んでいると述べました。「この脆弱性はHHS特有のものではなく、他の連邦機関や民間部門でも確認されています」と同省の広報担当者は声明で述べました。「現時点で、この脆弱性による情報漏えいの兆候はありません。」
カリフォルニア独立系システム運用者(California Independent System Operator)の広報ディレクターJayme Ackemann氏は、カリフォルニア州の電力網の80%を管理する非営利団体が日曜日に潜在的な悪用に気付いたと述べました。「このインシデントによる市場運営や電力網の信頼性への影響はありません」とAckemann氏は述べました。「全てのシステムは安定しており、完全に稼働しています。」
Microsoft SharePointは企業や政府機関で広く利用されており、Microsoftのプラットフォームと深く統合されています。研究者たちは、攻撃者が侵入を足がかりに被害者ネットワークの奥深くに潜り込む可能性があると警告しています。
攻撃は世界中に広がっていますが、ESETのテレメトリデータによると、米国内の組織がこれまでで最も多く標的となっており、攻撃の13%以上を占めています。Shadowserver Foundationのスキャンによると、水曜日時点で約11,000のSharePointインスタンスが依然としてインターネットに公開されていました。
翻訳元: https://cyberscoop.com/microsoft-sharepoint-attacks-400-victims-us-agencies/