Microsoft SharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Editionの脆弱性を悪用したサイバー攻撃が発生した。
当初CVE-2025-49704、CVE-2025-49706が悪用され、その後より深刻なCVE-2025-53770(CVSSスコア9.8)、CVE-2025-53771が発見された。
中国系脅威グループLinen Typhoon、Violet Typhoonが7月7日から攻撃を開始し、Storm-2603は7月18日からWarlockランサムウェアの展開を開始した。攻撃手法「ToolShell」により、攻撃者は認証を回避してSharePointサーバーに侵入し、Machine Keysを窃取して永続化を図る。
Eye Securityによると、7月17日から21日の4回の攻撃波により400以上の組織が侵害され、米エネルギー省、国家核安全保障局(NNSA)、教育省、フロリダ州歳入庁、ロードアイランド州議会などが被害を確認した。
Censysの調査によると、9,717台のオンプレミスSharePointサーバーが露出しており、Shadowserverは424台のSharePoint IPが脆弱であることを確認している。Microsoftは7月のPatch Tuesdayで初期パッチを提供したが不完全であったため、7月19日にCVE-2025-53770とCVE-2025-53771の追加パッチをリリースした。
From: 
Microsoft: SharePoint attacks now officially include ransomware infections
【編集部解説】
今回のMicrosoft SharePoint攻撃は、単なるセキュリティインシデントを超えて、企業のデジタルインフラ運用における根本的な課題を浮き彫りにしています。この事案を技術的側面と戦略的視点から詳しく解説します。
攻撃手法「ToolShell」の革新性
この攻撃で使用された「ToolShell」という手法は、従来のサイバー攻撃とは一線を画す巧妙さを持っています。攻撃者は認証を完全に回避し、SharePointの`/layouts/15/ToolPane.aspx`エンドポイントに細工されたHTTPリクエストを送信することで、未認証状態でもシステム内部へのアクセスを実現しました。
特に注目すべきは、偽装されたRefererヘッダーを使用することで、SharePointのセキュリティ機構を欺き、正当なリクエストとして処理させる点です。これにより攻撃者は、通常であれば管理者権限が必要な操作を、外部から実行できてしまいます。さらに、spinstall0.aspxという名称のWebシェルを展開し、持続的なアクセスを確保しています。
脆弱性の連鎖が生む深刻な影響
今回の攻撃では、複数の脆弱性が段階的に発見され悪用されています。当初はCVE-2025-49704(コードインジェクション)とCVE-2025-49706(ネットワークスプーフィング)の組み合わせから始まりましたが、調査が進むにつれてより深刻なCVE-2025-53770(CVSSスコア9.8)という極めて危険な脆弱性の存在が明らかになりました。
この段階的発見は、初期のパッチが不完全であったことを意味しており、Microsoftが7月のPatch Tuesdayで提供した最初の修正では十分でなく、7月19日に追加の緊急パッチが必要となる事態を招きました。
国家支援グループと犯罪組織の時系列的協調
今回の攻撃で最も憂慮すべき点は、異なる目的を持つ脅威グループの時系列的な関与です。7月7日からLinen TyphoonやViolet Typhoonといった中国政府支援グループが情報収集を目的とした攻撃を開始し、その約10日後の7月18日からStorm-2603が同じ脆弱性を悪用してWarlockランサムウェア攻撃を展開しました。
この時系列的な協調は、従来の「国家支援グループは諜報活動、犯罪組織は金銭目的」という境界線が戦術レベルで融合しつつあることを示しており、サイバーセキュリティの脅威モデルそのものが変化していることを意味します。
被害規模の波状的拡大
Eye Securityの詳細な調査によると、攻撃は7月17日から21日にかけて4回の明確な攻撃波として展開されました。この波状攻撃により、短期間で400以上の組織が被害を受けるという前例のない規模の被害が発生しています。
特に深刻なのは、Censysの調査で9,717台のオンプレミスSharePointサーバーが露出していることが判明し、Shadowserverによって424台のSharePoint IPが現在も脆弱な状態にあることが確認されている点です。
重要インフラへの戦略的標的化
今回の攻撃で特に注目すべきは、米国の重要インフラが戦略的に標的とされたことです。国家核安全保障局(NNSA)や米エネルギー省といった国家安全保障に直結する機関に加え、教育省、フロリダ州歳入庁、ロードアイランド州議会など、幅広い政府機関が被害を受けています。
これらの機関への攻撃は、単なる金銭目的を超えた戦略的意図を示唆しており、国家の安全保障と経済活動の両面に深刻な脅威をもたらしています。
予防的保護体制の重要性
興味深いことに、Trend Micro TippingPoint製品の利用者は、2025年5月から既にこの攻撃に対する保護を受けていました。この事実は、サイバーセキュリティにおける予防的保護システムの重要性と、脅威インテリジェンスに基づく先制的対策の有効性を証明しています。
技術進歩の二面性と学習機会
この事案は、クラウド技術とオンプレミス環境の相互依存性が生む新たなリスクを明確に示しています。多くの組織がハイブリッドクラウド環境を採用する中で、オンプレミス環境の脆弱性がクラウドサービス全体のセキュリティを脅かす可能性があることが判明しました。
一方で、Microsoftの段階的な対応改善やCISAによる国家レベルでの調整体制は、サイバーセキュリティ分野における官民連携の重要性と継続的な学習能力を示しています。
長期的な影響と戦略的展望
この攻撃は、企業のIT戦略に長期的な変化をもたらす転換点となる可能性があります。オンプレミス環境の維持コストと複雑性が再評価され、よりセキュアなクラウドネイティブ環境への移行が加速する契機となるでしょう。
同時に、ゼロトラストセキュリティモデルの採用がさらに重要になります。従来の境界防御モデルでは、一度内部に侵入されると深刻な被害を防ぐことが困難であることが、今回の事案で改めて証明されました。
規制面では、重要インフラ事業者に対するサイバーセキュリティ要件の強化や、インシデント報告義務の拡大が検討される可能性が高く、企業のコンプライアンス負担増加と、それに伴うセキュリティ投資の拡大も予想されます。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
セキュリティ脆弱性に付与される国際的な識別番号システムである。CVE-2025-49704のように年号と番号で構成される。
ランサムウェア
コンピューターのファイルを暗号化し、復号のために身代金を要求する悪意のあるソフトウェアである。近年企業や政府機関への攻撃が急増している。
APT(Advanced Persistent Threat)
高度で持続的な脅威を意味し、国家支援を受けた組織的なサイバー攻撃グループを指す。長期間にわたって標的に潜伏し情報収集を行う。
ゼロデイ脆弱性
ソフトウェアベンダーが把握していない、またはパッチが未リリースの脆弱性である。攻撃者が先に発見して悪用するため、防御が困難とされる。
Machine Keys
ASP.NETアプリケーションでデータの暗号化や認証に使用される暗号鍵である。攻撃者に窃取されると持続的なアクセスを許してしまう。
グループポリシーオブジェクト(GPO)
Windows Active Directoryでユーザーとコンピューターの設定を一元管理するためのオブジェクトである。攻撃者に悪用されるとネットワーク全体にマルウェアが配布される。
Mimikatz
Windows環境で認証情報を抽出するためのハッキングツールである。正当なセキュリティテストでも使用されるが、攻撃者による悪用も多い。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0の数値で評価する国際標準である。9.0以上は「緊急」レベルとされる。
オンプレミス
企業が自社の施設内でITシステムを運用する形態である。クラウドサービスと対比して使用される。
Webシェル
Webサーバー上で動作する悪意のあるスクリプトで、攻撃者がリモートからサーバーを制御するために使用される。
【参考リンク】
Microsoft SharePoint(外部)
Microsoftが提供する企業向けコラボレーションプラットフォーム。ドキュメント管理、チームサイト作成、ファイル共有機能を統合。
Microsoft セキュリティブログ(外部)
今回のSharePoint脆弱性攻撃に関するMicrosoft公式の技術分析とセキュリティ対策について詳述。
Palo Alto Networks Unit 42(外部)
SharePoint脆弱性の技術的詳細と攻撃手法「ToolShell」について専門的な分析を提供。
APT31 報奨金プログラム(外部)
米国務省が中国系サイバー攻撃グループAPT31の情報提供に対して最大1000万ドルの報奨金を設定。
【参考記事】
Storm-2603 Exploits SharePoint Flaws to Deploy Warlock Ransomware(外部)
中国系脅威グループStorm-2603によるSharePoint攻撃の技術的詳細分析。「ToolShell」攻撃手法とWebシェル展開を包括解説。
Chinese nation-state groups exploiting SharePoint vulnerability(外部)
中国の国家支援グループLinen TyphoonとViolet TyphoonによるSharePoint脆弱性悪用について詳述。
China-backed Storm-2603 deployed ransomware via SharePoint servers(外部)
Storm-2603によるWarlockランサムウェア攻撃と7月17日から21日の4回の攻撃波について詳報。
【編集部後記】
今回のSharePoint攻撃は、私たちが日常的に使用しているビジネスツールに潜む新たなリスクの現実を突きつけました。皆さんの職場でも、SharePointやTeams、Google Workspaceなどのコラボレーションツールは欠かせない存在になっているのではないでしょうか?
この事案をきっかけに、ぜひ一度立ち止まって考えてみませんか。あなたの組織では、これらのツールのセキュリティ設定や更新状況をどの程度把握できているでしょうか?また、段階的に発見される脆弱性や、予期しない攻撃手法に対する備えは十分でしょうか?
テクノロジーの進歩とリスクは常に表裏一体であり、今回のような事案は私たち全員にとって貴重な学習機会でもあります。私たち編集部も、読者の皆さんと一緒にこの複雑で変化の激しい時代を歩んでいく仲間として、今後もこうした事案の本質に迫り続けたいと思います。皆さんのご意見やご質問もお待ちしています。
