ハッカーがMicrosoftのデータ管理製品であるSharePointのゼロデイ脆弱性を悪用し、主に政府機関を標的にしていると、研究者や報道が伝えています。米国のサイバーセキュリティ機関CISAは週末に警告を発表し、ハッカーが以前は知られていなかったSharePointのバグを悪用しているとしています。
サイバーセキュリティ企業Censysの主任研究者であるシラス・カトラー氏によれば、最初にこの脆弱性を悪用したハッカーは政府機関を狙っていた可能性があるということです。カトラー氏は「初期の攻撃は限られたターゲットに対して行われたようです。おそらく政府関連です」と述べています。
このケースは急速に進展しており、当初の攻撃は限られたターゲットに対して行われましたが、他の攻撃者がこの脆弱性の悪用方法を学ぶにつれて、さらなる侵害が発生する可能性があるとカトラー氏は指摘しています。
この脆弱性はまだ完全には修正されておらず、政府に関係しない他のハッカーも悪用を始める可能性があるとカトラー氏は述べています。また、カトラー氏とその同僚は、インターネットからアクセス可能な9,000から10,000の脆弱なSharePointインスタンスを確認しており、状況は変わる可能性があるとしています。Eye Securityはこのバグの存在を最初に報告し、8,000以上のSharePointサーバーを世界中でスキャンし、数十のサーバーが侵害されている証拠を発見したと報告しています。
攻撃キャンペーンの初期段階でのターゲットの限られた数と種類を考慮すると、ハッカーは政府グループ、いわゆる高度持続的脅威の一部である可能性が高いとカトラー氏は説明しています。
ワシントン・ポスト紙は日曜日に、攻撃が米国の連邦および州の機関、大学、エネルギー企業などの商業的ターゲットを含むと報じました。
Microsoftはブログ投稿で、この脆弱性はローカルネットワークにインストールされたSharePointのバージョンにのみ影響し、クラウドバージョンには影響がないと発表しました。そのため、SharePointサーバーを導入している各組織はパッチを適用するか、インターネットから切断する必要があるという方針です。