標的は核兵器製造施設、頑丈なセキュリティを突破したハッカーの手口とは？：853rd Lap

アサヒビールやアスクルがランサムウェア被害に遭ったのは記憶に新しい。そんな中、ある重要施設がSharePointのゼロデイ脆弱性を悪用したサイバー攻撃の標的となった。高度なセキュリティで守られた施設に、ハッカーはどのようにして侵入したのか。

[キーマンズネット]

　アサヒビールやアスクルなどの企業がランサムウェア被害に遭い、製品の流通に深刻な影響が生じている。企業間の被害にとどまらず、国家レベルでのサイバー攻撃の応酬も続いており、各国で機密情報を狙う勢力が多様な手段を駆使して暗躍している。攻撃者はアプリケーションやシステムの脆弱（ぜいじゃく）性を見逃さず、機密情報を入手するためには手段を選ばない。

　こうした状況下で、「Microsoft SharePoint」（SharePoint）のゼロデイ脆弱性が悪用され、ある核兵器製造施設が標的となった。高度なセキュリティで守られているはずの重要施設にもかかわらず、ハッカーはどのような手段で侵入したのか。

　ハッカーが侵入した先は、米国エネルギー省（DOE）傘下の国家核安全保障局（NNSA）が運営する「カンザスシティ国家安全保障キャンパス」（KCNSC）だ。KCNSCは、米国の核兵器に搭載される非核部品と呼ばれる機械・電子、工学的要素の約8割を製造する極めて重要な拠点だ。

　侵入といっても、もちろん物理的ではなくサイバー攻撃によるものだ。この件は2025年10月20日付（現地時間、以下同）で情報セキュリティ専門メディア「CSO Online」が報じ、攻撃の原因はSharePointの脆弱（ぜいじゃく）性だったと指摘している。

　報道によれば、攻撃は2025年7月18日に始まり、KCNSCがその異常に気付いたのは同年7月22日だった。悪用されたのは「CVE-2025-53770」と「CVE-2025-49704」という2つの脆弱性で、前者はユーザーになりすますことが可能なスプーフィングの脆弱性、後者はリモートコードの実行が可能になる深刻な欠陥だった。

　これらを組み合わせることで、攻撃者は認証を偽装した上でネットワーク経由で任意のコードを実行できるようになるため、危険度は極めて高いとされる。Microsoftは既に修正パッチを公開していたものの、攻撃者はその回避策を新たに開発しており、依然としてリスクは高い状態にあるという。

　MicrosoftがSharePoint向けの修正パッチを公開したのは、攻撃が始まった翌日の2025年7月19日だった。KCNSCはパッチを適用していなかったため、攻撃が継続してしまった。攻撃の主な標的はKCNSCのIT部門だったが、CSO Onlineによると、非核部品の製造を担うOT（運用技術）部門にも攻撃が及んでいた可能性があるという。もしOT部門にまで侵入が及んでいた場合、核兵器の構造や製造方法など、極めて機密性の高い情報が漏えいしていた恐れもある。

　記事によれば、KCNSCのOTシステムは外部ネットワークから隔絶されており、直接的な侵入リスクは高くないとされる。それでも、侵入の可能性は完全には否定できない。核兵器関連の情報が漏えいすれば、国家安全保障に深刻な影響を及ぼす可能性がある。たとえ非機密情報であっても、戦略的価値を持つデータが含まれていれば、流出は大きな脅威となる。

　今回の攻撃について、CSO Onlineは中国系ハッカーグループの関与を指摘している。関係筋によればロシアの脅威アクターが関わっている可能性もあるという。いずれにせよ、米国の核兵器関連情報を狙った国家的なサイバー攻撃である可能性が高い。

　DOEは今回の侵入について「影響は最小限に抑え、被害システムは既に復旧した」と発表している。しかし記事は、今回の事件がITとOTの間に存在するセキュリティ対策のギャップを浮き彫りにしたと指摘。今後はITのみならず、OT環境においてもゼロトラストセキュリティモデルの導入が求められるとしている。

　アプリケーションやサービスのわずかな脆弱性が世界情勢を左右しかねない時代において、担当者は多様化するサイバー攻撃への防御策を講じるとともに、被害発生時の具体的な対応プロセスを常に想定しておく必要があるだろう。

上司X：　SharePointの脆弱性を悪用して、米国の核兵器製造施設がサイバー攻撃を受けた、という話だよ。

ブラックピット：　さすがにターゲットが核兵器製造施設となると恐怖ですね。

上司X：　でも、記事では、IT部門よりOT部門が狙われたらもっと大変だった、としているよ。

ブラックピット：　そうなんでしょうねえ。製造のノウハウがバレてしまったら、それこそ大問題でしょう。

上司X：　そうだな。

ブラックピット：　犯人グループがOT部門に手を出さなかったのはどういう意図だったのでしょうね？

上司X：　意外にセキュリティが強固で、手を出せなかったというのが実情かもしれないよ。詳しくは知らないけど。

ブラックピット：　今回のケースではなんとかなりましたけど、今後はIT部門だけではなく、OT部門についてもとにかく「セキュリティ対策を強固に」となりそうですね。

上司X：　そういうことになるかな。サイバー攻撃者が狙っているのは単なる情報だけではなく、何らかの技術情報だったり、製造ノウハウだったりするってことだ。企業にとっては、ただでさえ対策が大変なのに、さらに増えると思うとますます大変だとは思うが……。とにかく、今後はさらに強固な対策が求められるだろうな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。