Microsoft SharePointへのハッキング、米連邦・州政府・企業など世界各地に被害

 (washingtonpost.com)
6 ポイント 投稿者 GN⁺ 2025-07-22 | 1件のコメント | WhatsAppで共有
  • Microsoft SharePointサーバーの深刻な脆弱性が悪用され、米国の連邦・州政府、大学、エネルギー企業、アジアの通信事業者など、世界中の機関や企業がハッキング攻撃を受けた
  • 今回のハッキングは、パッチが提供されていない「ゼロデイ」脆弱性を狙ったもので、数万台のSharePointサーバーが危険にさらされた。Microsoftは一部バージョンにのみパッチを提供しており、残るバージョンは依然として脆弱な状態にある
  • 攻撃者はサーバーに保存された機密データの窃取、パスワードの収集、再侵入のための鍵の取得など、深刻な被害を引き起こした。一部では政府の情報公開用文書リポジトリまで「乗っ取られ」、アクセスが遮断された
  • 被害範囲は米国だけでなく、欧州、アジア、南米など世界各国に及ぶ。FBI、CISAなど各国機関が緊急対応と情報共有に乗り出している
  • Microsoftはここ数年、繰り返されるセキュリティ事故で批判を受けており、今回の事態でもパッチ提供の遅れ、脆弱なセキュリティ体制、攻撃者の再侵入可能性といった構造的限界が改めて浮き彫りになった

Microsoft SharePointサーバーへのハッキング

  • 正体不明の攻撃者が、MicrosoftのコラボレーションソフトウェアであるSharePointの未公表セキュリティ脆弱性を利用し、米国の連邦・州政府、大学、エネルギー企業、アジアの通信事業者など、世界各地の機関や企業を攻撃した
  • 今回の攻撃はゼロデイ(0-day)脆弱性を狙ったもので、サーバー内データの流出・窃取、暗号鍵の取得など、さまざまな被害が発生した

脆弱性とパッチの状況

  • 専門家によると、数万台のSharePointサーバーが危険にさらされている。攻撃対象はオンプレミスサーバーに限定され、クラウドベース(Microsoft 365など)は影響を受けない
  • Microsoftは日曜日に1つのバージョン向けパッチを公開したが、2つのバージョンはまだ未パッチの状態。被害を受けた機関は独自対応と暫定措置を進めている
  • 攻撃者はパッチ適用後も取得した鍵を使って再侵入できる可能性があり、迅速なパッチ適用だけでは被害復旧が難しいことが強調されている

攻撃と被害範囲

  • CrowdStrike、Palo Alto Networks、Eye Securityなど多数のセキュリティ企業が、数十以上の機関・企業が侵害されたことを確認している
  • 被害組織は米国の連邦・州政府、欧州の政府機関、大学、エネルギー企業、アジアの通信事業者など多岐にわたる
  • ある州政府では、住民向け案内の公式文書リポジトリがハッキングされてアクセス不能になっており、一部ではデータを完全に削除する「ワイパー(wiper)攻撃」への懸念も示されている

セキュリティ業界・政府の対応

  • FBI、CISAなど米政府機関が即時調査と共同対応を進めている
  • CISAは民間の情報セキュリティ企業から通報を受けると直ちにMicrosoftと連携し、パッチ開発を促した
  • Center for Internet Securityなどは約100機関に緊急脆弱性アラートを送信しており、情報共有とインシデント対応の人員が予算削減で大幅に減ったため、対応に苦慮している

Microsoftと繰り返されるセキュリティ論争

  • Microsoftはここ2年、相次ぐハッキング事件(例: 2023年の中国発の政府メールハッキング、自社ネットワーク侵害、クラウドプログラミングの不具合など)により、公共機関・政府顧客からの信頼低下に直面している
  • 今回のハッキングは、パッチ提供の遅れ、類似脆弱性への対処不足、繰り返される杜撰なセキュリティ管理など、構造的な限界をあらためて露呈した
  • 米国防総省のクラウド事業支援要員に中国拠点のエンジニアを活用していたことをめぐる論争まで重なり、公共部門のMicrosoft依存への懸念が高まっている

結論と展望

  • 今回の事件は、大規模コラボレーションソリューションの単一の脆弱性が、世界中の多数の機関や企業に深刻な波及効果をもたらしうることを示している
  • 攻撃者は取得した暗号鍵などを使ってパッチ後も長期間侵入を維持できる可能性が高く、単なるパッチ適用以外の根本的なセキュリティ強化が必要だ
  • セキュリティ人員・予算の削減、ITガバナンスの欠如などが、公共部門におけるサイバー脅威対応の構造的脆弱性として指摘されている

関連記事

1件のコメント

 
GN⁺ 2025-07-22
Hacker Newsの意見

  • CISAは、セキュリティ脆弱性のある組織に対し、正式なパッチが出るまで当該製品をインターネットから切り離すよう勧告しているが、SharePointをオンプレミスで直接ホスティングし、しかもインターネットに公開している組織があるのは興味深いと思う。こうした組織の大半はVPNを必須にしているものだと予想していた

    • CISAが以前よりも実務的な人材を失い、政治的順応ばかりを重視する集団になってしまった点を残念に思う。最近、アリゾナ州がイランのハッカーから攻撃を受けたが支援を求めなかった事例が共有されていた 記事リンク。広範な攻撃を調査するCISAのような組織は本当に重要であり、いまは政治的基準に振り回されている点を懸念している Techdirtリンク

    • ベストプラクティスは、ネットワークがすでに侵害されていると仮定すること。VPNも完全なセキュリティ保証にはならない。大規模組織ほどデバイスを失ったり管理が難しかったりするので、とにかく「ゼロトラスト」アプローチと、どこからでも接続できることが重要になる。組織はデータを統制しつつも業務の柔軟性を求めている

    • SharePointはもともと公開Webサイト運営用としても積極的に宣伝されていた。クラウド移行前には、Microsoftの営業担当がオフィスに来て、最新のSharePointによってWordpressは消えると売り込んでいたこともあった。こうした惰性のせいで、いまでも昔のやり方にとどまっている組織が多い

    • SharePointやExchangeなどの内部サービスをpre-auth reverse proxyの背後で運用するのも、別に珍しいことではない

    • 以前MicrosoftがSharePointをイントラネット用途として盛んにマーケティングしていたため、多くの機関で導入された。SharePoint 2019のサポート終了により、代替システムを急いで構築しようとしている組織も多い

  • Principal Engineer Copilotがこうした脆弱性を防げなかった理由が気になる

    • Copilotがその肩書きを得る前から脆弱性が存在していた可能性がある。インターン時代に入り込んだ問題だったのかもしれない

    • ハッカーも顧客も従業員も管理者も、みんな似たようなものだ。何度も中国や自社顧客、そして中国などに拠点を置く管理者や従業員にハッキングされている。会社全体がすでに侵入されているのではないかと思う。PE copilotはむしろ攻撃を手助けする側かもしれない、という不信感を表明している

    • ハッカーだってCopilotを使えるのだから、結局どちらかが勝つしかない(?)

  • SharePointにあまりにも多くの時間を費やしてきた。これをインターネットに公開するのは絶対に良い選択ではないと感じる。あるバージョン以降は公開Webサーバー用途でもプロモーションされていた気がするが、むしろすべてのインスタンスをネットワーク上で分離して設置していた

    • 2010年代初頭、MicrosoftはSharePointをインターネットサイト向けソリューションとして積極的に売り込んでおり、BMWやFerrariのような欧州自動車メーカーがグローバルなマーケティングサイトとして使っていた事例も見たことがある。ただ、1サイトあたり4万ドルなど高すぎて、長くは続かなかった

    • 何年も前に少しだけSharePointを使ったとき、公開WebホスティングこそがSharePointの本来の目的だと思っていた

  • ペンタゴン職員の間では、「米軍を崩壊させたければSharePointをなくせばいい」という冗談がいつも飛び交っているのをよく耳にした。軍でのスピーチでは必ず出てくるユーモアだ

    • かつて組織内でSharePointを多用していた

  • 自分のリアルタイムセキュリティ警告フィードが主要メディアより先にこのニュースを捉えていた ZeroDayPublishingフィード

    • RSSフィードも提供しているのか気になる

  • オンプレミスのエンタープライズビジネスでは、MicrosoftよりRed Hatがもっと増えるべきだと思う。特にDoDのような重要顧客に対して、こうした脆弱性は容認できない。Googleは突破できないという評価が多い一方で、政府機関はSharePointのような脆弱なオンプレミスソリューションを使っていることが多い。なぜもっと安価で広く使われているLinux系に移行しないのか不思議だ。本当にセキュリティが最優先事項ではないのか、と問いかけている

    • Microsoftは政府機関に求められる各種規制や官僚的手続きをうまく乗り越えられるからだと思う。Linux側でそこまでうまくやっているところは知らない

  • Microsoftが実際に中国在住の従業員を通じて米国防総省サーバーを管理していたことがあったのか気になる。DoD内部でもSharePointを使っていそうだ

    • DoDで使われているM365のバージョン(SPOを含む)は別にあるが、これは当該記事とは関係ない

    • 関連記事リンク Reuters記事

    • 記事を引用すると、「クラウドサービスのプログラミング欠陥により、中国系ハッカーが連邦政府のメールを窃取できたほか、Microsoftが最近まで米国防クラウド計画に中国人材を支援要員として配置していたことをProPublicaが明らかにし、国防長官がこれに対する全面的な再検討を命じた」

  • CISA予算の大幅削減の結果、危機対応人員も65%減り、インシデント対応にずっと時間がかかるようになったという点が印象的だった

    • 専門人材が大量に職を失ったことと、そこまで削減しておきながら実際にはほとんど無駄を見つけられなかったことのどちらがより腹立たしいのかわからない。本当にあきれる状況だ

  • 少し反感を買うかもしれないが、こうしたことがもっと起きて企業がSharePointの利用をやめてくれればとも思う。2017年以降は使っていないが、使っていた頃は毎回本当に最悪だったし、「SharepoIT Happens」と書かれたTシャツまで着ていた。会社の同僚たちも全員SharePointが嫌いだと同意している

    • M365の利用をやめない限り、SharePointの利用をやめることはできない構造だ。たとえばTeamsでチームを作ると自動的にM365グループが作成され、その各グループごとにSharePointサイトとExchangeメールボックスが作られる。チャネルのファイルもSharePointに保存され、メッセージはExchangeに保存される。個人ファイルはOneDrive(=SharePoint)に保存される。つまり実質的にM365全体がSharePointとExchangeの上に構築されている

    • 以前Microsoftで、SharePointベースの自動DRMシステム導入を試みた会社にいた。文書をアップロードするとSharePointが自動でDRMをかけ、ユーザーがダウンロードすると指定デバイスでしか開けないようにする仕組みだった。しかしログイン方法によってはDRMのかかっていないファイルをそのまま受け取れてしまい、Microsoftのコンサルタントも結局解決できなかった

    • うちの会社にはSharePointと別の社内ドキュメント/ノートサイト(たとえばNotion/Quip/Confluence系)があるが、大半の開発者は後者を使っている。ところが一部の社員がWordファイルだけをアップロードするので、結局みんなSharePointを使わざるを得ず、文書を2か所で探さなければならない

    • 上司に1年以上SharePointの設定をやらされ続けたが、6か月ほど経ってちゃんと調べてみると大したものではなさそうだった。結局、上司は別の技術者を雇って1日で導入したが、誰も使わなかった。残ったのは、自分の高速USBドライブを盗まれたことくらいだ

    • 政府機関と取引する中堅企業の立場では、より良いソリューションがあってもほとんど採用されない。サイバーセキュリティ要件があまりにも多く、SharePointが「商業的に成立する唯一の」選択肢になってしまっている。SharePointが使いづらくても、代替ソリューションは「リスク」と見なされる。ファイル一覧がスクロールできない、自動化機能に問題がある、M365テナント間でログインが壊れる、URLの可読性がない、検索性能が低い、テーブルやフィルターが壊れる、権限設定UIが隠れているなど、大きな不満から小さな不満まで多い。こうしたものは検索して直せる類いの問題ではない

  • もし自分が会社の取締役会メンバーになったら、Microsoftソリューションの導入を自発的に主張するCTOや創業者は無条件には信用しないと思う。TeamsでMicrosoft OfficeのリンクをクリックするたびにMicrosoftへの不信が強まる。SharePointに脆弱性があってもまったく驚かない