米国エネルギー省傘下の国家核安全保障局(NNSA)は2025年7月18日、Microsoft SharePoint Serverのゼロデイ脆弱性連鎖「ToolShell」(CVE-2025-49706・49704・53770・53771)を突かれ侵害された。
攻撃は7月7日に始まり、中国系Linen Typhoon、Violet Typhoon、Storm-2603が関与する。機密流出は確認されず、影響は少数システムに留まったが世界で400超の組織が被害を受けた。SharePoint Onlineは影響対象外である。
From: 
US Nuclear Agency Hacked in Microsoft SharePoint Frenzy
【編集部解説】
今回の米国核安全保障局への攻撃は、単なる一企業のソフトウェア問題を超えた、現代のデジタルインフラが抱える根本的な脆弱性を浮き彫りにしています。特に注目すべきは、攻撃者が「ToolShell」と呼ばれる攻撃手法を用いて、既にパッチが適用されたシステムさえも侵害できた点です。
ゼロデイ攻撃の技術的メカニズム
「ToolShell」攻撃の核心は、複数の脆弱性を連鎖的に悪用する高度な手法にあります。攻撃者はまずCVE-2025-49706を使用して認証を回避し、続いてCVE-2025-49704でリモートコード実行を可能にします。さらに深刻なのは、7月に公開されたパッチを回避する新たなバリアント(CVE-2025-53770)が発見され、これにより既にセキュリティ更新を適用した組織も再び危険にさらされました。
企業インフラへの波及効果の深刻さ
SharePointは単なるドキュメント管理システムではありません。Microsoft 365エコシステムの中核として、Teams、OneDrive、Outlookと深く統合されているため、一度侵害されると組織全体への横展開が可能になります。これは、従来の「境界防御」モデルの限界を示しており、ゼロトラストアーキテクチャへの移行の必要性を強調しています。
国家レベルの脅威アクターの戦術進化
今回の攻撃で特筆すべきは、中国系の複数の攻撃グループ(Linen Typhoon、Violet Typhoon、Storm-2603)が同一の脆弱性を同時期に悪用した点です。これは国家支援型攻撃の「工業化」を示しており、脆弱性情報の共有や攻撃ツールの標準化が進んでいることを意味します。
サプライチェーンリスクの現実化
MicrosoftのSharePointは世界中の政府機関や重要インフラで使用されており、単一の脆弱性が全世界に影響を与える「システミックリスク」となっています。オランダのEye Security社の調査では、400以上の組織が影響を受けたとされ、この数字は氷山の一角に過ぎない可能性があります。
セキュリティ対応の時間的ジレンマ
興味深いのは、攻撃の初期兆候が7月7日に確認されていたにも関わらず、公式なセキュリティ勧告は7月19日まで発表されませんでした。この12日間の「情報格差」は、セキュリティ業界における脅威情報共有の課題を浮き彫りにしています。
クラウドファーストの戦略的優位性
今回の事案で注目すべきは、SharePoint Onlineを使用する組織は影響を受けなかった点です。これは、オンプレミス環境からクラウドへの移行が単なるコスト削減策ではなく、セキュリティ戦略として有効であることを実証しています。
規制環境への長期的影響
この事案は、政府調達におけるサイバーセキュリティ要件の強化を促進する可能性があります。特に、単一ベンダーへの過度な依存リスクや、オープンソース代替案の検討が加速することが予想されます。
技術革新への示唆
今回の攻撃は、AI/MLベースの異常検知システムの重要性を再確認させます。従来のシグネチャベースの検知では、このような高度な攻撃を防ぐことは困難であり、行動分析やゼロトラスト原則の実装が急務となっています。
未来のサイバーセキュリティ戦略
この事案は、サイバーセキュリティが単なるIT部門の責任ではなく、組織全体のレジリエンス戦略の一部であることを示しています。特に重要インフラを運営する組織では、技術的対策だけでなく、インシデント対応計画や事業継続性の観点からの包括的なアプローチが求められます。
【用語解説】
ToolShell
SharePointの複数ゼロデイを鎖状に悪用し未認証RCEを実現する攻撃手法。
CVE-2025-49706
SharePoint Serverの認証回避(Spoofing)脆弱性。
CVE-2025-49704
SharePoint Serverのリモートコード実行脆弱性。
CVE-2025-53770
既存パッチを回避する新RCEバリアント。CVSS 9.8。
CVE-2025-53771
Path TraversalによるSpoofing。CVSS 7.1。
RCE(Remote Code Execution)
ネットワーク越しに任意コードを実行される脆弱性。
APT(Advanced Persistent Threat)
国家等が支援する長期潜伏型サイバー攻撃。
【参考リンク】
Microsoft SharePoint(外部)
Microsoftが提供するドキュメント管理・共同作業基盤。TeamsやOneDriveと連携し企業内ワークフローを支える。
National Nuclear Security Administration (NNSA)(外部)
米国核兵器の安全維持や拡散防止を担う半自治機関。
CISA KEV Catalog(外部)
米国CISAが管理する「既知の悪用済み脆弱性」一覧。連邦機関は掲載CVEsの迅速なパッチ適用が義務化される。
【参考記事】
Microsoft Security Blog: Disrupting active exploitation of on-premises SharePoint vulnerabilities(外部)
MicrosoftがToolShell攻撃の技術的詳細と中国系APTの関与を解説。
Security NEXT: SharePoint Serverに深刻な脆弱性『ToolShell』(外部)
CVE-2025-53770/53771の概要、CVSSスコア、影響範囲、SharePoint Onlineが無影響である事実を報告。
SOCRadar Blog: ToolShell Campaign: New SharePoint Zero-Day (CVE-2025-53770)(外部)
新バリアントの出現、NNSA侵害、攻撃タイムラインなどを詳細に分析。
CISA Alert: Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability CVE-2025-53770(外部)
ToolShell脆弱性の緩和策と連邦機関への緊急パッチ指示を公表。
Palo Alto Networks Unit42: Microsoft SharePointの脆弱性を積極的に悪用する攻撃活動(外部)
新旧CVEの相関と攻撃手口を解説。
Fastly Blog: ToolShell Remote Code Execution in Microsoft SharePoint(外部)
企業が講じるべきテレメトリ監視と緩和策を提示。
Cisco Talos: ToolShell: Details of CVEs affecting SharePoint servers(外部)
未認証RCEを可能にする攻撃シナリオとパッチ後のキー再生成手順を解説。
【編集部後記】
今回のSharePoint「ToolShell」事案を取材していて、改めて感じるのは現代のサイバーセキュリティが単なる技術的問題を超えた「システミックリスク」になっているということです。一つのソフトウェアの脆弱性が、世界400以上の組織、そして米国の核安全保障局まで影響を与える現実を目の当たりにしました。
特に印象的だったのは、攻撃開始から政府発表まで12日間という「情報格差」の存在です。この間、多くの組織が無防備な状態に置かれていたわけですが、これは個別企業の責任を超えた構造的課題だと感じます。
一方で、SharePoint Onlineが無事だった事実は希望的でもあります。「クラウドは不安」という声もまだ聞かれますが、今回のような事案では逆にクラウドファーストが組織を守ったのです。
読者のみなさんの組織では、こうした脅威情報をどう活用されていますか?パッチ適用の自動化やゼロトラスト原則の導入など、具体的な取り組みがあればぜひ教えてください。私たちも継続的に学び、より実践的な情報をお届けしていきたいと思います。
