SharePointを襲う犯人が明らかに 攻撃は続行中
Microsoftは企業向けの情報共有プラットフォーム「SharePoint」を狙う攻撃者グループを特定した。攻撃はまだ続いている。
「Microsoft SharePoint Server」(以下、SharePoint)を襲う連鎖攻撃の犯人が見つかった。SharePointは情報共有やコラボレーション、コンテンツ管理に使うソリューションだ。
Microsoftは2025年7月22日(現地時間、以下同)、SharePointの脆弱(ぜいじゃく)性を悪用するずる賢い脅威グループを2つ特定したと発表した(注1)。いずれも中国政府からの支援を受けて活動しているという。
SharePointを襲う犯人が明らかに 攻撃は続行中
その脅威グループとは「Linen Typhoon」と「Violet Typhoon」で、SharePointを運用するネットワークへの侵入を試みる脅威グループの一部だ。グループは、ネットワークスプーフィングに関する脆弱性「CVE-2025-49706」と(注2)、リモートコード実行に関する脆弱性「CVE-2025-49704」を悪用した(注3)。
Microsoftはこれらの脆弱性を修正済みであり、それぞれに新しいCVE番号「CVE-2025-53770」と「CVE-2025-53771」を割り当てた(注4、注5)。これはCVE-2025-49704やCVE-2025-49706についてのMicrosoftの修正を回避する形のバイパス脆弱性が見つかったからだ。
Microsoftによると、中国に関連する3番目の攻撃者「Storm-2603」も同様の脆弱性を悪用中だ。
Googleのグループ企業であり、サイバーセキュリティ事業を営むMandiantの幹部は2025年7月21日に、中国に関連する攻撃者グループが増え続けるSharePointの脆弱性を悪用する攻撃者の一部になっていたことを確認した(注6)。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は悪用が知られている脆弱性をまとめたKEVカタログに、「CVE-2025-53770」を2025年7月20日に追加した(注7)。
Microsoftは「攻撃者が遅くとも2025年7月7日には脆弱性を悪用し始め、標的に定めた組織への侵入の足掛かりを得ていた」と述べた。
攻撃により世界中で数十の組織が侵害されており、中には複数の政府機関や幅広い業界に属する企業も含まれている。
サイバーセキュリティ事業を営むPalo Alto Networksの研究者たちによると(注8)、攻撃者は脆弱性を利用して多要素認証やシングルサインオンシステムを回避した。そしてシステムへの特権アクセスを獲得したという。持続的なバックドアの設置や機密データの窃取、暗号鍵の盗み出しが可能になっている。
サイバーセキュリティ事業を営むRapid7も「顧客環境で脆弱性の積極的な悪用が確認された」と述べた(注9)。
Microsoftによると、2012年に初めて確認されたLinen Typhoonは、既存の不正プログラムを使って知的財産を盗み出しており、政府機関や防衛産業、戦略的計画を担う組織を標的にしてきたという。
2015年から活動しているViolet Typhoonは、米国や欧州、東アジアの政府や軍関係者、非政府組織(NGO)、高等教育機関、デジタルおよび印刷メディア、金融企業、医療機関を標的にしてきたという。通常グループは、公開されたWebインフラに脆弱性がないかどうかをスキャンして、Web Shellを設置する。
研究者はStorm-2603がオンプレミス環境にあるSharePointの脆弱性を利用してマシンキーを盗み出していることを確認した。以前、Storm-2603はアクセス権を使って「Warlock」や「LockBit」といったランサムウェアを展開してきた。Microsoftは「Storm-2603の現在の目的をまだ把握できていない」と述べた。
Microsoftは他の脅威グループによる悪用について調査中であり、オンプレミス環境にあるパッチ未適用のSharePointへの攻撃に、より多くの攻撃者が新たな脆弱性を組み込む可能性があると警告した。
出典:Microsoft sees China-backed nation-state hackers among adversaries targeting SharePoint(Cybersecurity Dive)
注1:Microsoft, CISA warn of cyberattacks targeting on-premises SharePoint servers(Cybersecurity Dive)
注2:CVE-2025-49706 Detail(NIST)
注3:CVE-2025-49704 Detail(NIST)
注4:CVE-2025-53770 Detail(NIST)
注5:CVE-2025-53771 Detail(NIST)
注6:Charles Carmakal(LinkedIn)
注7:UPDATE: Microsoft Releases Guidance on Exploitation of SharePoint Vulnerabilities(CISA)
注8:AActive Exploitation of Microsoft SharePoint Vulnerabilities: Threat Brief (Updated August 12)(Unit42)
注9:CVE-2025-53770 - Zero-day exploitation in the wild of Microsoft SharePoint servers(Rapid7)
関連記事
SharePointを襲う連鎖攻撃が急拡大、Microsoftの対応不十分が原因か?
企業向けの情報共有プラットフォーム「SharePoint」を狙う危険なサイバー攻撃が進行中だ。Microsoftが当初、不完全なパッチを公開したため、攻撃が激化してしまった。
Microsoftが語る セキュリティ運用を軽くする2つの方策とは
企業に対するサイバー攻撃は質、量とも悪化する一方だ。セキュリティ人材が不足する中、運用負荷を下げつつ効果的な防御策がほしい。Microsoftが勧める2つの方法を紹介しよう。
Google、AWS、Microsoftが顧客にこぞって義務付ける「あるセキュリティ対策」とは?
クラウドサービスを攻撃するサイバー攻撃に対抗するにはどうすればよいのだろうか。いろいろな対策が考えられる。基本は認証回りを固めることだろう。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- デジタル庁、生成AIの利用実績を初公表、職員の間で利用格差も
- 「ChatGPT」一強崩れる 中堅・大企業で「Copilot」が逆転トップに――2025年版生成AI活用実態調査
- Gmailに危機 最大25億人の情報漏えい
- OneDriveを“なんとなく使ってる人”が見落としがちな7つの設定:845th Lap
- DDoS攻撃が「tenki.jp」を機能停止に追い込んだ手口とは?
- バックアップに最適なHDDは? 20TB超モデルを徹底比較
- 国内で「6000億円の損害」を生んだ証券口座乗っ取り事件、企業が対策すべき認証の穴とは?
- マッチングアプリ「タップル」運用の裏側 AIでデータ分析を高速化した話
- 「Excel×Copilot」活用術 データ集計、分析をもっとラクにする実践ガイド
- 表で分かる「Microsoft 365」と「Google Workspace」のプランを徹底整理【2025年版】
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。