グーグルとマイクロソフトのセキュリティ研究者は、中国政府の支援を受けたハッカーがMicrosoft SharePointのゼロデイ脆弱性を悪用している証拠を発見したと発表しました。世界中の企業がこの脆弱性に対応するためにパッチを急いでいます。
この脆弱性は、先週末に発見されたもので、正式にはCVE-2025-53770と呼ばれています。SharePointは企業や組織が内部文書を保存・共有するために広く使用されているソフトウェアサーバーです。この脆弱性を悪用されると、ハッカーは自己ホスト型のSharePointから機密鍵を盗むことができます。さらに、攻撃者はこの脆弱性を利用してリモートでマルウェアを植え付け、保存されたファイルやデータにアクセスできるようになり、同じネットワーク上の他のシステムにもアクセスすることが可能です。
マイクロソフトは火曜日のブログ投稿で、少なくとも2つの中国支援のハッカーグループ「Linen Typhoon」と「Violet Typhoon」がこのゼロデイ脆弱性を悪用していると述べました。「Linen Typhoon」は知的財産の窃盗に焦点を当て、「Violet Typhoon」はスパイ活動に利用するための個人情報を盗んでいるとしています。
また、マイクロソフトは「Storm-2603」と名付けた第三の中国支援のハッカーグループも、この攻撃に関与しているとしています。このグループについては情報が少ないものの、過去にランサムウェア攻撃と関連があると指摘しています。
マイクロソフトによると、これらの3つのハッカーグループは、7月7日以降、脆弱なSharePointサーバーに侵入するためにゼロデイ脆弱性を悪用していると観測されています。
グーグルのインシデント対応ユニットMandiantの最高技術責任者であるチャールズ・カルマカル氏は、TechCrunchに送ったメールで「少なくとも1つの中国関連のハッカーグループが関与している」と述べ、「複数のアクターがこの脆弱性を積極的に悪用している」と指摘しました。
すでに数十の組織がハッキングされており、政府部門も含まれています。この脆弱性は、ゼロデイと見なされており、マイクロソフトがパッチを発行する前にすでに悪用されていたためです。マイクロソフトは影響を受けたすべてのSharePointバージョンに対してパッチを展開しましたが、セキュリティ研究者は自己ホスト型のSharePointを運用している顧客はすでに侵害されたと想定すべきだと警告しています。
中国政府はサイバー攻撃を行ったとの非難を長らく否定してきましたが、関与を明確に否定しているわけではありません。
ワシントンD.C.の中国大使館の報道官であるリウ・ペンユ氏は、コメントを求められた際に「中国はあらゆる形態のサイバー攻撃とサイバー犯罪に断固反対し、これと闘う立場を一貫して明確にしている」と声明で述べました。
これは、近年中国に関連するハッキングキャンペーンの最新のものです。2021年には、中国支援のハッカーがマイクロソフトExchangeの自己ホスト型メールサーバーを標的にしたと非難されました。最近の司法省の起訴状によると、2人の中国人ハッカーがこれらの侵害を主導したとされ、いわゆる「Hafnium」攻撃により60,000以上の影響を受けたサーバーから連絡先情報やプライベートメールボックスが侵害されました。
中国政府からのコメントを追加しました。