Microsoft SharePointのゼロデイ脆弱性ToolShell(CVE-2025-53770/53771)が広範囲に悪用された結果、合計396の侵害されたシステムが確認されました。
このグローバルなゼロデイを発見したオランダの企業Eye Securityは、7月18日から23日にかけて27,000台のSharePointサーバーを分析し、少なくとも41カ国145のユニークな組織が影響を受けたことを確認しました。
多くの専門家は、長期的には影響を受ける組織の数がさらに増加する可能性が高いと指摘しています。
最も多く攻撃を受けた国は米国で、全体の31%を占めました。モーリシャス(8%)、ドイツ(7%)、フランス(5%)も被害国に含まれています。
Eye SecurityはInfosecurityに対し、確証はないものの、モーリシャスが標的となった理由として、同地域に米国政府機関が多く存在することが考えられると述べました。
同社はまた、ヨルダンの2つの組織も影響を受けたことを特定しました。Eye Securityは、これらの組織が「異常に多くの攻撃」を受けていたと指摘しています。
政府機関が最も標的に
政府部門は、全確認感染事例の30%を占めました。報道によると、米国核兵器庁、国土安全保障省、保健福祉省などが被害に含まれているとされていますが、執筆時点ではこれらの機関から公式な確認はありません。
大規模な組織、特に政府機関は、技術スタックとしてオンプレミスのMicrosoft SharePointを利用することが一般的です。オンプレミスのSharePointを利用することで、組織はこれらのシステムに保存する情報をより厳格に管理できます。
「データから明らかなのは、これは無作為または機会的なキャンペーンではなかったということです。攻撃者は何を狙っているのか正確に把握していました」と、Eye Securityのセキュリティオペレーション担当副社長Lodi Hensen氏は述べています。
このサイバーセキュリティ企業はInfosecurityに対し、攻撃者がすべての脆弱な組織を狙ったわけではないことが明らかだったと語りました。
「むしろ、戦略的または諜報上の価値が高いと思われる組織に焦点を当てていたようであり、標的型かつ意図的なアプローチが示唆されます」と同社は述べています。
また、これらの組織が情報収集を目的とした作戦の一環として標的にされた可能性が高いとも述べています。
教育分野は全世界の攻撃の13%を占め、次いでSaaSプロバイダー(9%)、通信会社(4%)、電力網(4%)が続きました。
攻撃は今後も継続の見込み
Eye Securityは、今後数週間にわたりSharePointの脆弱性が引き続き悪用され、ランサムウェアやサプライチェーン攻撃が続く可能性が高いと予想しています。
Microsoftは初期の攻撃を、中国と関連するLinen Typhoon、Violet Typhoon、Storm-2603などのグループによるものとしています。
しかし、最近の活動は、国家支援グループに限らず悪用が広がっていることを示唆しています。
「ゼロデイが公になり、技術的な詳細が流通し始めると、他の国家・非国家アクターも追随する傾向があります。特に金銭的利益を目的としたサイバー犯罪グループなど、動機の異なるグループも含まれます」とHensen氏は述べています。
スキルの低い攻撃者でも、この脆弱性を悪用できるようになった可能性があります。Eye Securityは、Metasploitなどのオープンソースツールにこのエクスプロイトが組み込まれたことで、スキルの低い攻撃者でも未修正のシステムを簡単に悪用できるようになったと説明しています。
Microsoftが特定した3つの脅威アクター以外には、Eye Securityは他のグループへの攻撃の帰属は行っていません。
しかし同社はInfosecurityに対し、エクスプロイトが公開されていることから、他の脅威アクターもこの脆弱性を利用している可能性が非常に高いと述べています。
Eye Securityは7月21日に顧客およびパートナーに直接この脅威を通知し、現在オンプレミスのSharePointを利用しているすべての組織に対し、侵害を前提とした対応、パッチ適用の確認、徹底的な脅威ハンティングの実施を強く呼びかけています。
画像クレジット: jackpress / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/396-sharepoint-systems-compromised/