出典:bmidgett / Shutterstock
アフリカ諸国は、機会主義的な脅威アクターがnデイ脆弱性を悪用し、インフラやネットワークを標的にするサイバー攻撃の増加に直面しています。専門家によれば、急速にデジタル化が進む公共・民間部門がソフトウェアやシステムの修正を行う前に、攻撃が仕掛けられているとのことです。
6月22日、攻撃者は南アフリカ国家財務省を標的としました。同国では少なくとも6つ以上の組織が、マイクロソフトの情報共有・コラボレーションソフトウェア「SharePoint」に存在する4つの関連脆弱性のnデイ攻撃に継続的に見舞われていると報じられています。ToolShellとして知られるこれらの脆弱性を利用した攻撃には、「自動車製造業界、大学、複数の地方自治体、連邦政府機関」が含まれていました。他にも、アフリカの島国モーリシャスや中東のヨルダンでも被害が発生しています。報道によると。
Bitdefenderのテクニカルソリューションディレクター、Martin Zugec氏によれば、ToolShell攻撃者は機会主義的で、インターネットに公開されたSharePointサーバーを無差別に狙っているため、大陸全体の組織が影響を受けている可能性が高いとのことです。
「サイバー攻撃者は特定の産業や地理的要因でアフリカを狙っているのではなく、脆弱で公開されたサービスをインターネット全体で機会主義的にスキャンしているのです」と彼は述べています。「アフリカの急速に拡大するデジタルインフラと、まだ発展途上にあるサイバーセキュリティ環境が、インターネットに公開されたターゲットの増加につながっています。」
これらの攻撃は、アフリカ諸国を直撃した最新の事例です。1年前、ランサムウェアグループが南アフリカ国立衛生研究所(NHLS)のシステムを侵害し、研究所間の通信を妨げ、全国的な検査の遅延を引き起こしました。最近では、中国支援のサイバースパイグループAPT41が、アフリカ全域のさまざまな組織を標的にしたと、今月初めに発表されたKaspersky社の分析で報告されています。また、大陸の東部および西部諸国でも犯罪の劇的な増加が見られると、インターポールは述べています。
ToolShellによるMicrosoft SharePoint悪用の拡大
オンプレミスのSharePointインストールに対する大規模な攻撃は、この傾向における最新のキャンペーンを示しています。
7月初旬、定例アップデートの際にマイクロソフトは複数のSharePointの問題を修正しました。そのうち2つの脆弱性(CVE-2025-49706およびCVE-2025-49704)は2025年5月にPwn2Own Berlinコンテストで発見され、その後攻撃が再現され、「ToolShell」とXの研究者によって命名され、7月14日にスクリーンショットが公開されました。
その3日後、複数のセキュリティ企業が、これらの脆弱性の亜種(CVE-2025-53770およびCVE-2025-53771)を利用したゼロデイ攻撃を検知しました。最初の攻撃は、中国国家支援の3つのアクター(Linen Typhoon、Violet Typhoon、Storm-2603)が組織の侵害を試みた標的型攻撃だったと、マイクロソフトが発表した分析によって報告されています。
他国の組織と同様、多くの組織がこれらの脆弱性の亜種に不意を突かれました。アフリカ諸国は特に脆弱であり、中国支援のハッキンググループの標的であるだけでなく、標的型攻撃がすぐにより広範な金銭目的のスキャンに発展したと、ESETの上級マルウェア研究者Anton Cherepanov氏は述べています。
「ToolShell攻撃の最初の波は、MicrosoftがSharePointの脆弱性CVE-2025-53770に関するガイダンスを公開した時期と重なり、標的型のように見えました」と彼は述べています。「現在もアフリカを含むToolShellの活動を観測していますが、最近の攻撃は脆弱性の公表以降、標的型というより機会主義的なものになっているようです。」
これらの攻撃は、脅威研究者がますます目にする2段階のパターンにも従っています。攻撃者はPoC(概念実証)コードの公開から24時間以内に足場を築き、その後数週間から数か月後に手動によるハッキング作業を行います。
アフリカ:デジタル機会のサイバーターゲット
アフリカは急速にデジタルインフラを拡大しています。この急速なデジタル化は各国経済に恩恵をもたらす一方で、サイバーリスクも伴います。経済的に制約のある組織は、SharePointのようなオンプレミス版ソフトウェアをよりコスト効率が高いと見なすことが多いですが、セキュリティ管理が十分でない場合があります、とBitdefenderのZugec氏は述べています。
「これは特に、ITスタッフの人件費がクラウドベースのソフトウェアサブスクリプションの継続的なライセンス費用や運用コストよりも大幅に安い地域で当てはまります」と彼は述べています。「この経済的要因がオンプレミス導入の普及を促進し、その結果、こうした脆弱性に対する攻撃対象領域が拡大しています。」
Zugec氏は、企業は複数の重層的なセキュリティコントロールを導入し、1つの層が失敗しても他の層で攻撃を検知・防止できるようにすべきだと述べています。また、堅牢な検知・対応能力を育成することで、侵害発生時の被害を抑え、積極的なパッチ適用や脆弱性管理によって攻撃対象領域を大幅に減らすことができます。
企業は、インターネットに公開された資産を継続的に把握し、重大な脆弱性に対して迅速かつ優先的にパッチを適用する必要があります。また、緩和策は単にパッチを適用するだけではなく、追加の対策が必要であることを理解すべきだと彼は述べています。
南アフリカ国家財務省は、インフラ内の潜在的な脆弱性の特定と対処についてマイクロソフトに支援を要請しており、情報通信技術(ICT)チームが毎日約5,800件のセキュリティ脅威をブロックしていると述べています。
翻訳元: https://www.darkreading.com/cyber-risk/african-orgs-mass-microsoft-sharepoint-exploits