概要

2025年7月22日、マイクロソフトは、中国の国家支援とみられるハッカー集団が、同社の人気製品であるSharePointサーバーの重大なセキュリティ脆弱性を悪用して、機密データの窃盗や悪意のあるコードの展開を行っていると警告しました。この攻撃は、特にオンプレミスのSharePointサーバーに影響を及ぼしており、クラウドベースのSharePoint Onlineサービスには影響がないとされています。以下では、この問題の背景、攻撃の詳細、影響、推奨される対策について詳しく解説します。

1. 攻撃の概要

マイクロソフトによると、3つの脅威グループ（Linen Typhoon、Violet Typhoon、Storm-2603）が、インターネットに公開されているSharePointサーバーを標的に、2つの新たに発見された脆弱性を悪用しています。これらの脆弱性は、認証を回避し、リモートで悪意のあるコードを実行することを可能にします。

• 開始時期: 攻撃は2025年7月7日から始まったとされています。
• 対象: オンプレミスのSharePointサーバー（クラウド版のSharePoint Onlineは対象外）。
• 攻撃の目的: 機密データの窃盗、システムへのバックドアアクセスの確立、ネットワークへの持続的なアクセス。

サイバーセキュリティ企業Check Pointの調査によれば、攻撃は7月7日に西側の大手政府機関を標的に始まり、7月18日頃から攻撃が急増。主に北米および西欧の組織が標的となっています。

2. SharePointサーバーとは

SharePointは、マイクロソフトが提供する企業向けのコラボレーションおよび文書管理プラットフォームです。主な特徴は以下の通りです：

• 用途: 社内での共同作業、文書共有、プロジェクト管理などに使用。
• 統合性: Microsoft Office、Teams、Outlookなどの他のマイクロソフト製品とシームレスに連携。
• 利用者: 大規模な企業や組織、政府機関などで広く採用されています。

SharePointには、オンプレミス（自社サーバーでの運用）とクラウドベース（SharePoint Online）の2つの形態があります。今回の攻撃は、オンプレミス版に限定されています。

3. 攻撃の詳細

脆弱性の内容

攻撃者が悪用している2つの脆弱性は、以下のような危険性を持っています：

• 認証の回避: 攻撃者は正規の認証手続きを回避し、不正にシステムにアクセス可能。
• リモートコード実行（RCE）: 攻撃者はサーバー上で悪意のあるコードを実行でき、システムの制御を奪う可能性がある。

これにより、攻撃者は以下のような行動を取っています：

• バックドアの設置: システムに持続的なアクセスを確保するためのバックドアを設置。
• 暗号鍵の窃盗: システムの暗号化キーや認証情報を盗む。
• 機密データの窃盗: 機密性の高い文書やデータを抽出。

攻撃者のプロフィール

マイクロソフトは、以下の3つのハッカー集団が関与していると特定しています：

1. Linen Typhoon（2012年から活動）
   主な目的: 知的財産の窃盗。
   標的: 政府機関、防衛関連組織、人権団体。
2. Violet Typhoon（2015年から活動）
   主な目的: スパイ活動。
   標的: 元政府高官、NGO、シンクタンク、米国・欧州・東アジアのメディア組織。
3. Storm-2603（中国拠点と推定、確信度は中程度）
   主な目的: 不明（過去にはランサムウェア攻撃に関与）。
   特徴: 現在の攻撃目的は不明だが、攻撃手法は他の2グループと類似。

4. 攻撃の影響

主に北米および西欧の政府機関、企業、NGOなどが標的。特に、大規模な組織でSharePointを文書管理やコラボレーションに使用しているケースが危険に晒されています。Check Pointによると、数十件の侵害の試みが確認されており、攻撃は拡大傾向にあります。

潜在的リスク：

• 機密情報の漏洩（例：知的財産、個人情報、戦略的文書）。
• システムの完全性への脅威（バックドアによる持続的アクセス）。
• 企業の業務停止や信頼性の低下。

マイクロソフトは、これらの攻撃が「高い確信度」で今後も継続すると警告しています。特に、適切なセキュリティパッチを適用していないシステムが標的になりやすいと指摘しています。

5. マイクロソフトの対応

マイクロソフトは、以下の対策を講じています：

• セキュリティパッチの公開: 脆弱性を修正する包括的なアップデートをリリース。
• 顧客への警告: セキュリティ速報を通じて、顧客に早急なパッチ適用を推奨。
• 監視の継続: 攻撃の動向を追跡し、さらなる脅威を特定。

6. 推奨される対策

マイクロソフトおよびサイバーセキュリティ専門家は、以下の対策を推奨しています：

1. セキュリティパッチの即時適用:
   マイクロソフトが提供する最新のセキュリティアップデートを適用する。SharePointサーバーの管理者は、システムが最新の状態であることを確認。
2. インターネット公開サーバーの監視:
   インターネットに公開されているSharePointサーバーの設定を確認し、不要な公開を制限。ファイアウォールや侵入検知システムを活用。
3. セキュリティ監査の実施:
   システムログを確認し、不審なアクティビティがないかチェック。認証情報や暗号鍵が盗まれていないか調査。
4. バックアップと復旧計画:
   重要なデータやシステムのバックアップを定期的に作成。攻撃を受けた場合に備えた復旧計画を準備。
5. 従業員教育:
   フィッシングやソーシャルエンジニアリングに対する意識向上トレーニングを実施。不審なリンクや添付ファイルに注意するよう指導。

7. 背景と今後の懸念

背景

中国を拠点とする国家支援ハッカー集団は、過去にもサイバー攻撃を通じて知的財産や機密情報の窃盗、スパイ活動を行ってきました。今回の攻撃は、マイクロソフト製品の広範な利用を背景に、特に影響が大きいと考えられます。SharePointは多くの組織で機密性の高いデータを扱う基盤であるため、攻撃の成功は重大な損害を及ぼす可能性があります。

今後の懸念

• 攻撃の拡大: マイクロソフトの警告通り、脆弱性が未修正のシステムを標的とした攻撃が続く可能性が高い。
• 新たな脆弱性の発見: 攻撃者が他の未知の脆弱性を悪用するリスク。
• 地政学的影響: 政府機関や防衛関連組織が標的となっているため、国際的なサイバー戦争の一環として捉えられる可能性。

8. 関連情報

マイクロソフトの投資: 今回の攻撃とは直接関係ありませんが、マイクロソフトは南アフリカで2億9800万ドルのAI投資を発表しています。この投資は、AI技術の開発や地域のデジタルインフラ強化を目的としています。

Check Pointの調査: 攻撃の詳細やタイムラインについて、Check Pointのブログでさらに詳しい情報が提供されています。

9. 結論

中国の国家支援ハッカーによるSharePointサーバーへの攻撃は、企業や組織にとって重大な脅威です。特に、オンプレミスのSharePointを利用している組織は、直ちにセキュリティパッチを適用し、システムの保護を強化する必要があります。マイクロソフトの迅速な対応と警告により、被害の拡大を防ぐための対策が提供されていますが、組織側の積極的な対応が不可欠です。サイバーセキュリティの重要性が高まる中、定期的なシステム更新や監視の強化が、将来の攻撃を防ぐ鍵となります。

10. 追加リソース

• マイクロソフトのセキュリティ速報
• Check Pointのブログ: 攻撃の詳細
• セキュリティパッチの適用方法: マイクロソフトのサポートページ