SharePointを襲う連鎖攻撃が急拡大、Microsoftの対応不十分が原因か？

企業向けの情報共有プラットフォーム「SharePoint」を狙う危険なサイバー攻撃が進行中だ。Microsoftが当初、不完全なパッチを公開したため、攻撃が激化してしまった。

[David Jones，Cybersecurity Dive]

　組織内の情報共有やコラボレーション、コンテンツ管理に役立つ「Microsoft SharePoint Server」（以下、SharePoint）の重大な脆弱（ぜいじゃく）性を狙った一連のサイバー攻撃が進行中だ。各国の政府機関やサイバーセキュリティチームが対応するほどの危険な攻撃だ。

SharePointを襲う連鎖攻撃が急拡大、原因はMicrosoftの対応か

　一連の攻撃は2025年7月初旬に始まり、同年7月14日（現地時間、以下同）の週の終わりにかけて急速に拡大し、政府機関や（電力やガス、鉄道、空港などの）重要インフラ事業者、SharePointを利用するその他の重要なシステムに影響を与えた。2025年8月末時点でも攻撃を部分的にしか制圧できていない。

　犯罪者は「ToolShell」という攻撃手法を悪用した。これはリモートコード注入の脆弱性「CVE-2025-49704」とネットワークスプーフィングの脆弱性「CVE-2025-49706」を組み合わせたものだ（注1）（注2）。

　研究者のコア・ディン氏が攻撃の連鎖を最初に発見して（注3）、アタックサーフェス管理などに強みを持つCode Whiteが2025年7月の初めに攻撃の連鎖の再現に成功した（注4）。

　攻撃を可視化するサービスを提供するwatchTowrのベンジャミン・ハリス氏（CEO）によると、攻撃が激化したのは、Microsoftが当初、脆弱性に向けて不完全なパッチを公開したことが原因だという。

　研究者が脆弱性の悪用についてMicrosoftに警告した後、同社は2025年7月19日に緊急の勧告を発表した。信頼できないデータのデシリアライズに関する脆弱性「CVE-2025-53770」に関するものだ（注5）。加えて「CVE-2025-53771」として追跡されているパストラバーサルに関する脆弱性も発表した（注6）。

　サイバー脅威の監視と報告に強みを持つThe Shadowserver Foundationは、今回の攻撃により世界中のSharePointの利用者が侵害されており、確認されただけで少なくとも300件の侵害があったと報告した。

　同団体は「LeakIX」＊のデータを引用して、2025年7月23日時点で脆弱性が残っている424のSharePoint ServerのIPアドレスを確認したと報告した。外部攻撃対象領域管理に強みを持つCensysの研究者たちは「インターネットで公開されているオンプレミス環境のSharePointのサーバを9717台特定した」と述べている。

＊LeakIXは設定ミスのあるサーバや公開データベースなど、インターネットに公開されている資産をインデックス化することで、オンラインの脆弱性やデータ漏えいを特定・報告するサイバーセキュリティプラットフォーム兼検索エンジンだ。

政府機関への影響

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、攻撃によって複数の連邦政府機関や州、地方自治体が侵害されたという報告を調査中だ。

　国土安全保障省（DHS）の報道官は2025年7月24日に『Cybersecurity Dive』に対してのように述べた。

　「CISAはMicrosoft、被害を受けた政府機関、重要インフラの関係者と昼夜を問わず連携して、実行可能な情報の共有や被害軽減策の適用、防御措置の導入、将来の攻撃への予防策の検討を進めている」

　エネルギー省（DOE）は攻撃によって被害を受けたことを認めた。侵入されたことで、国家の核兵器備蓄を管理する国家核安全保障局（NNSA）を含むDOEの組織に影響が及んだ。

　DHSも攻撃による被害があったことを認めたが、同省は「攻撃者が省内のいずれの部門からもデータを持ち出した証拠はない」とした。

　『The Washington Post』は攻撃者が保健福祉省（HHS）も侵害したと報じた（注7）。HHSはCybersecurity Diveに対し、「SharePointの脆弱性に関連する全てのリスクについて、監視と特定、軽減を積極的に実行中だ」と述べたが、詳細は明らかにしなかった。

攻撃の背後にいる人物は誰なのか

　Microsoftは中国政府の支援を受けた2つの攻撃者グループ「Linen Typhoon」「Violet Typhoon」が、一連の攻撃に関与していたと特定した。研究者は脆弱性の悪用が2025年7月7日には始まっていたと結論付けた。

　2012年から活動しているLinen Typhoonは知的財産の窃取に注力しており、政府機関や防衛関連企業、人権団体を標的にしてきた。2015年から活動しているViolet Typhoonは主に米国や欧州、東アジアの非政府組織や高等教育機関、メディア、金融企業を標的とするスパイ活動グループだ。

　Microsoftによると、同社が「Storm-2603」として追跡している中国を拠点とする3つ目の攻撃者は、SharePointの脆弱性を利用してランサムウェア攻撃を実行しているようだ。攻撃者グループは過去に「Warlock」や「LockBit」といったランサムウェアを使用しており、2025年7月18日以降、SharePointの脆弱性を悪用してランサムウェアによる侵入を続けているという。攻撃グループは脆弱性が修正された後でもシステムにアクセスできるようにするために、「Internet Information Services」（IIS）が利用するSharePoint用のMachine Keyの窃取も試みている。

　Googleの研究者によると、他の攻撃グループも近いうちに脆弱性を悪用する可能性が高く、すでに一部は攻撃を始めている恐れがあるという。

被害を軽減するにはどうすればよいのか

　Microsoftは「CVE-2025-53770」と「CVE-2025-53771」から利用者を完全に保護できるとするセキュリティアップデートを公開した。対象となる製品は、「SharePoint 2016」と「SharePoint 2019」「SharePoint Subscription Edition」だ。

　Microsoftは利用者に対して軽減策を発表した。「Microsoft Defender Antivirus」の導入は基本だ。「Windows」の「Antimalware Scan Interface」（AMSI）を有効化した後、SharePoint ServerのASP.NET用のMachine Keyを更新して、全てのSharePointサーバで「Internet Information Services」（IIS）を再起動するよう求めている。Googleの研究者によると、攻撃の初期段階ですでに攻撃者がMachine Keyを盗み出していたという。

　脆弱性管理などに強みを持つRapid7の研究者は、「CVE-2025-53770」と「CVE-2025-53371」に向けたエクスプロイトモジュールをGitHubに公開した（注8）。これを利用するとユーザー企業のセキュリティチームは自社の環境をテストできる。

　Rapid7のスティーブン・フュアー氏（プリンシパル・セキュリティリサーチャー）は次のように述べた。

　「現在、大規模な悪用が進行しているため、防御側は自社の環境にある全てのSharePointサーバに対して直ちに行動を取るべきだ。通常のパッチ適用サイクルを待たずに、緊急対応としてベンダーが提供するパッチを適用することを強く推奨する」

　なお、Microsoftは今回の攻撃はオンプレミス版のSharePoint Serverのみに影響し、クラウドサービスの「SharePoint Online」は影響を受けないと発言している。

出典：What we know about the Microsoft SharePoint attacks（Cybersecurity Dive）
注1：CVE-2025-49704 Detail（NIST）
注2：CVE-2025-49706 Detail（NIST）
注3：Khoa Dinh（bird.makeup）
注4：CODE WHITE GmbH（Mastodon）
注5：CVE-2025-53770 Detail（NIST）
注6：CVE-2025-53771 Detail（NIST）
注7：U.S. nuclear and health agencies hit in Microsoft SharePoint breach（The Washington Post）
注8：Exploit module for Microsoft SharePoint ToolPane Unauthenticated RCE (CVE-2025-53770 and CVE-2025-53771) #20409（rapid7）