Microsoft SharePointのゼロデイ脆弱性、重要インフラを危機に晒す:壊滅的なサイバー攻撃の猛威
ワシントンの記念碑の影で、セキュリティチームは週末を徹して時間との絶望的な競争に挑んだ。彼らの任務は、巧妙な攻撃者が国家機密と基幹サービスを守るネットワークにさらに深く侵入する前に、政府の重要サーバーにパッチを適用することだった。
危機はわずか2日前に始まった。マイクロソフトが確認したのは、サイバーセキュリティ専門家が恐れていたことだった。SharePoint Serverソフトウェアに壊滅的な新たな「ゼロデイ」脆弱性が存在し、攻撃者は最も堅牢なセキュリティ対策でさえ静かに迂回し、侵害されたシステムを完全に制御できる可能性を与えるというものだ。
「多要素認証を無効にしてしまう脆弱性です」と、現在進行中の対策作業のため匿名を希望したある上級サイバーセキュリティアナリストは語った。「全ての鍵が突然効かなくなったようなものですが、さらに悪いのは、気づくまでに何日も前から誰かが侵入していた可能性があるということです。」
ファクトシート:Microsoft SharePoint ゼロデイサイバー攻撃(2025年7月)
| カテゴリ | 詳細 |
|---|---|
| 影響を受ける製品 | オンプレミス版 SharePoint Server(Subscription Edition、2019; 2016は対応中) |
| 影響を受けた組織 | 政府機関、企業、教育機関、医療機関(確認された侵害は75~85件) |
| 脆弱性(CVEs) | CVE-2025-53770、CVE-2025-53771(「ToolShell」) |
| 悪用能力 | 非認証RCE、水平移動、MFA/SSOバイパス、データ漏洩 |
| パッチ状況 | Subscription/2019向けアップデートはリリース済み; 2016は対応中(7月21日現在) |
| マイクロソフトのガイダンス | 即時パッチ適用、AMSIの有効化、マシンキーのローテーション、パッチ未適用サーバーの隔離 |
| CISAの対応 | 既知の悪用されている脆弱性カタログに追加; 連邦政府機関へのパッチ適用を義務付け |
| 重大なリスク | パッチ適用後も盗まれた認証情報/バックドアが残存する可能性; ネットワーク全体にわたる侵害の可能性 |
「ToolShell」エクスプロイト:デジタルの合い鍵
正式にはCVE-2025-53770とCVE-2025-53771として指定されているが、研究者によって総称して「ToolShell」と名付けられたこれらの重大な欠陥は、SharePointがデータ逆直列化(複雑なデータを実行可能なコードに戻すプロセス)を処理する方法を悪用する。
この一見すると技術的な問題は、現実世界に深刻な影響を及ぼす。攻撃者はサーバーに悪意のあるコードを直接注入し、管理者レベルのアクセス権を獲得し、接続されたネットワーク内で水平移動できる。その間、正規のユーザーとして振る舞う。最も憂慮すべきは、彼らが暗号鍵を盗み、パッチ適用後も残る持続的なバックドアを仕掛けることができる点だ。
7月18日以降、少なくとも75~85件のサーバー侵害が確認されており、標的は政府機関、医療機関、教育機関、主要企業などが含まれる。
「この攻撃が特に危険なのは、通常のSharePointアクティビティに溶け込む方法です」と、大手サイバーセキュリティ企業の脅威インテリジェンス専門家は説明した。「日常的な膨大な操作の中に潜む、わずかな異常を探すことになる。検出は極めて困難だ。」
デジタル世界の消防士たち:マイクロソフトの緊急対応の舞台裏
マイクロソフトは昨日、SharePoint Subscription EditionとSharePoint 2019向けの重要なセキュリティアップデートをリリースし、旧バージョン向けのアップデートはまだ開発中だ。同社のインシデント対応チームは24時間体制で作業に当たっている。
マイクロソフトからのガイダンスは明確だ。直ちにパッチを適用すること。すぐにアップデートをデプロイできない組織に対しては、同様に明確な推奨事項がある。安全が確保されるまで、脆弱なサーバーをインターネットから切断することだ。
「パッチ適用後でさえ、組織は厄介な疑問に直面するでしょう」と、元CISA当局者は指摘した。「もし攻撃者がパッチ適用前から侵入していたとしたら、何を奪ったのか? どのようなバックドアを残したのか? クリーンアップは単にアップデートを適用するだけでは済まされない。」
SharePointを超えて:デジタル混乱の夏
SharePointへの攻撃は、巧妙なサイバー脅威の憂慮すべきエスカレーションにおける最新の出来事に過ぎない。6月下旬以降、デジタル環境は一連の注目すべき事件によって揺さぶられてきた。
160億個のパスワードの悪夢
先月、サイバーセキュリティ研究者らは、史上最大規模の認証情報漏洩を発見した可能性がある。160億を超えるユーザー認証情報、トークン、およびクッキーがダークウェブに晒されているのだ。この膨大な情報には、Facebook、Apple、Google、Telegramなどの主要プラットフォームのログイン情報が含まれる。
「これは単なるデータ侵害ではありません」と、ある脅威研究者は語った。「これらの認証情報の量と質は、巧妙な情報窃取型マルウェアによって収集されたことを示唆しています。その結果、前例のないレベルのアカウント乗っ取りや巧妙なフィッシングキャンペーンが確認されています。」
危機に瀕する重要インフラ
これらの攻撃と並行して、重要インフラは容赦ない圧力に直面している。「CitrixBleed 2」の脆弱性により、機密システムを保護するネットワークアプライアンスに対する1,150万回以上の悪用試行が確認された。一方、産業制御システムで広く使用されているIvantiのセキュリティプラットフォームは、複数のゼロデイエクスプロイトによって侵害された。
小売セクターは特に大きな打撃を受けており、2025年第2四半期にはランサムウェア攻撃が世界的に58%急増した。医療機関は引き続き主要な標的であり、Qilinランサムウェアグループが病院や医療施設への攻撃を主導している。
「私たちが目にしているのは、前例のない脅威の収束です」と、ベテランのインシデント対応者は述べた。「国家支援型の手法が犯罪グループに採用され、ランサムウェア運用者は、かつてはエリート政府ハッカーに限定されていた能力を示している。その境界は完全に曖昧になっている。」
地政学的なチェス盤
これらの攻撃は、高まる地政学的な緊張を背景に発生しており、国家関連グループが政府および防衛インフラを標的にするケースが増加している。北朝鮮のBlueNoroff APTグループはディープフェイクビデオ通話を利用してマルウェアを配布する手法を開拓し、中国関連のSalt Typhoonは通信事業者を標的にしている。
「これらは孤立した事件ではありません」と、ある情報アナリストは指摘した。「これらは西側の技術インフラを侵害するための協調的な戦略を示しています。SharePointへの攻撃は、高度な国家支援型活動の特徴を帯びていますが、ただし、帰属の特定は依然として困難です。」
投資見通し:サイバーセキュリティの新たな現実
投資家にとって、脅威の状況が激化していることは、課題と機会の両方を示唆している。組織が防御態勢を再評価するため、サイバーセキュリティ部門は大幅な成長を見せる可能性がある。
侵害を前提とし、あらゆるアクセス要求を検証するゼロトラストアーキテクチャに特化した企業は、大きな恩恵を受ける可能性がある。同様に、予防だけでは不十分であると組織が認識しているため、高度な検出および対応能力を提供する企業は需要の増加を見込むことができるだろう。
「市場は、コンプライアンスのチェック項目を満たすだけでなく、実際のセキュリティ成果を実証できる企業に報いる可能性が高いです」と、テクノロジーセクターに焦点を当てる投資戦略家は示唆した。「企業全体でサイバーセキュリティがどのように予算化され、実装されるかにおいて、根本的な変化が起こる可能性があると見ています。」
包括的なセキュリティプラットフォームを持つ既存企業は市場シェアを獲得する可能性があり、新たな脅威ベクトルに対処する専門企業