Microsoftの企業向け情報共有プラットフォーム「SharePoint」のオンプレミス版に、極めて深刻なゼロデイ脆弱性が存在することが明らかになった。既に中国政府と関連するとみられる複数のハッカーグループがこの脆弱性を悪用し、世界中の政府機関や企業に対して大規模な攻撃を仕掛けている。

この攻撃が厄介なのは、攻撃者がサーバーの暗号化キーそのものを窃取し、たとえセキュリティパッチを適用した後でも、まるで「合鍵」を持つかのようにシステムへ自由に出入りできる永続的なバックドアを確保することが可能な点にある。

セキュリティ専門家からは「インターネットに公開されたオンプレミスのSharePointサーバーは、既に侵害されたと仮定して対処すべきだ」という、極めて強い警告が発せられている。企業が今すぐ取るべき具体的な対策は何があるのだろうか。

AD

静かに始まった大規模攻撃:一体何が起きているのか?

今回の攻撃の中心にあるのは、以下の2つの脆弱性だ。

  • CVE-2025-53770: 認証されていないリモートコード実行(RCE)を可能にする脆弱性 (CVSSスコア: 9.8 – “Critical”)
  • CVE-2025-53771: 認証をバイパスするためのスプーフィング(なりすまし)脆弱性

これらは、Microsoftが2025年7月の月例セキュリティ更新プログラム(パッチチューズデー)で修正した脆弱性(CVE-2025-49704およびCVE-2025-49706)に対する修正を、攻撃者が巧妙に回避(バイパス)する「ゼロデイ攻撃」である。つまり、ベンダーが対策を講じる前に、その対策の穴を突いて攻撃が開始されたことを意味する。

影響を受けるのは、自社内でサーバーを運用するオンプレミス版の「SharePoint Server 2016」「SharePoint Server 2019」「SharePoint Server Subscription Edition」であり、Microsoft 365に含まれるSharePoint Onlineは影響を受けない。

Microsoftの脅威インテリジェンスチームは、7月22日の公式ブログで、この脆弱性を悪用している攻撃者の存在を公式に認めた。その中には、中国政府との関連が指摘される2つのハッカーグループが含まれている。

  • Linen Typhoon (別名: APT27): 主に政府、防衛、戦略計画、人権団体などを標的に、知的財産の窃取を目的とするグループ。
  • Violet Typhoon (別名: APT31): スパイ活動に重点を置き、米国、欧州、東アジアの元政府・軍関係者、非政府組織(NGO)、シンクタンクなどを狙う。

さらに、中国に拠点を置くとみられるもう一つのグループ「Storm-2603」による悪用も確認されている。このグループは過去にランサムウェア攻撃への関与が指摘されており、金銭目的のサイバー犯罪と国家支援型攻撃の境界が曖昧になっている現状を浮き彫りにしている。

Check Point Research社の調査によれば、最初の攻撃の兆候は7月7日には既に観測されており、パッチが公開される前から水面下で攻撃が進行していた可能性が高い。

攻撃の核心:「ToolShell」がもたらす永続的な脅威

今回の攻撃手法は「ToolShell」と呼ばれ、その巧妙さと悪質さにおいて特筆すべきものだ。この攻撃は、単にサーバーを乗っ取るだけでなく、将来にわたる持続的なアクセス権を確保することを主眼に置いている。攻撃は主に3つの段階で実行される。

  1. 認証の壁をすり抜ける巧妙な偽装 (CVE-2025-53771)
    攻撃者はまず、SharePointの「/_layouts/15/ToolPane.aspx」という特定のページにリクエストを送信する。その際、HTTPリクエストのRefererヘッダー(どのページから遷移してきたかを示す情報)を「/_layouts/SignOut.aspx」(サインアウト処理ページ)に偽装する。これにより、SharePointサーバーを「正規のサインアウト処理の一部だ」と錯覚させ、認証チェックを素通りしてしまう。これは、厳重な警備が敷かれたビルの受付を、偽の身分証でいとも簡単に通過するようなものだ。
  2. サーバーを乗っ取るコード実行 (CVE-2025-53770)
    認証を突破した攻撃者は、信頼されたリクエストとして、悪意のあるデータを送り込む。SharePointサーバーは、この信頼できないデータを無防備に処理(デシリアライズ)してしまい、結果として攻撃者が仕込んだ任意のコードがサーバー上で実行される。これは、信頼できる差出人から届いた小包を開封したら、中からスパイロボットが出てきて活動を始めるような、致命的な事態である。
  3. 本当の狙い―サーバーの「合鍵」窃取
    サーバーの制御権を握った攻撃者の最終目的は、多くの場合、ASP.NETの「MachineKey」を盗み出すことにある。このキーには、ValidationKeyDecryptionKeyという2つの暗号化キーが含まれており、ユーザーの状態情報(__VIEWSTATE)などを暗号化・検証するために使われる、いわばサーバーの「マスターキー」だ。 このキーを一度盗まれてしまうと、攻撃者はたとえセキュリティパッチが適用された後でも、正規のユーザーやプロセスを装うための有効なトークンを自前で生成できるようになる。つまり、攻撃者はサーバーの「合鍵」を手に入れたことになり、いつでも、誰にも気づかれずにシステムに侵入し続けられるのだ。これが、今回の脆弱性が「極めて深刻」である最大の理由に他ならない。

AD

なぜ今SharePointが狙われたのか?

この攻撃の背景には、現代の企業システムが抱える構造的な課題と、攻撃者の戦略的な計算が見え隠れする。

  • 視点1:オンプレミス資産という「盲点」
    世の中のトレンドがクラウドへと移行する中で、多くの企業のセキュリティ投資や関心もクラウドに集中しがちだ。しかし、知的財産や機密情報、基幹システムといった重要資産の多くが、依然としてオンプレミスのサーバー上で稼働している。SharePointはまさにその代表格であり、組織内の情報が集約される「宝の山」だ。攻撃者は、クラウドという華やかな舞台の裏で、防御が手薄になりがちな伝統的なオンプレミス環境を狙い撃ちにしている。
  • 視点2:サプライチェーン攻撃への布石
    SharePointサーバーを侵害することは、単一のサーバーを乗っ取ること以上の意味を持つ。そこは組織内の様々なプロジェクトの設計図、経営戦略、人事情報、顧客データなどが集まるハブである。ここを足掛かりに、より広範なネットワークへ侵入(ラテラルムーブメント)したり、標的の組織に関する深い情報を得て、より高度なスパイ活動や将来のサプライチェーン攻撃へとつなげるための布石である可能性も否定できない。
  • 視点3:Microsoftへの終わらない圧力
    2021年に世界を震撼させたMicrosoft Exchange Serverへの大規模攻撃(Hafnium)と同様、世界中で圧倒的なシェアを持つMicrosoft製品は、国家が支援する高度な攻撃者にとって常に魅力的なターゲットであり続ける。攻撃者にとって、一つの脆弱性を見つけるだけで、世界中の何万もの組織に影響を与えられる可能性があるからだ。これは、Microsoftが自社製品のセキュリティにおいて、常に極めて高いレベルの責任を負い続けていることの裏返しでもある。

被害はどこまで?そして企業が今すぐやるべきこと

Palo Alto Networks Unit 42のCTOであるMichael Sikorski氏が「インターネットに公開されたオンプレミスSharePointがあれば、侵害されたと仮定すべき」と警告するように、楽観は許されない状況だ。企業が今すぐ取るべきアクションは以下の通りである。

  1. 即時パッチ適用(大前提)
    Microsoftは既に影響を受ける全てのバージョンに対して緊急のセキュリティ更新プログラムをリリースしている。まだ適用していない場合は、最優先で実施する必要がある。
  2. 「侵害の前提」での調査
    パッチ適用はあくまで出血を止める応急処置に過ぎない。Microsoftや各セキュリティベンダーが公開している侵害の痕跡(IoC: Indicators of Compromise)を元に、自社のサーバーに不審なファイル(spinstall.aspxなど)や通信ログがないか徹底的に調査する。
  3. 【最重要】MachineKeyのローテーションとIISの再起動
    今回の攻撃の核心が「キーの窃取」にある以上、パッチ適用だけでは不十分だ。たとえドアに新しい鍵を付けても、泥棒が合鍵を持っているなら意味がない。盗まれた可能性のある古いMachineKeyを無効化し、新しいキーを生成(ローテーション)することが不可欠だ。この作業後、設定を反映させるためにInternet Information Services (IIS)の再起動が必要となる。Microsoftはこの手順に関する詳細なガイダンスを公開している。
  4. 追加の防御的措置
    Microsoftは、さらなる緩和策として以下の項目を推奨している。
    • AMSI (Antimalware Scan Interface) 統合の有効化: マルウェア対策ソフトウェアがSharePointのコンテンツをスキャンできるようにする。
    • Microsoft Defender for Endpointの導入: 攻撃後の不審な活動を検知・ブロックする。
    • インターネットからのアクセス制限: 可能であれば、SharePointサーバーへのアクセスを内部ネットワークや信頼されたIPアドレスに限定する。

今回のインシデントは、「パッチを当てれば安全」という従来のセキュリティ常識がもはや通用しない時代の到来を告げている。攻撃者は防御策をリバースエンジニアリングし、その隙を突いてくる。これは単なる技術的な事件ではなく、地政学的な緊張がサイバー空間に投影された、国家間の熾烈な攻防の一幕なのである。自社の情報資産を守るためには、もはや「信頼せず、常に検証する(Zero Trust)」という姿勢が、オンプレミス環境においても不可欠となっている。

Sources