アメリカ政府とサイバーセキュリティの研究者は、マイクロソフトのSharePointに新たなセキュリティ脆弱性が発見され、攻撃を受けていると発表しました。
アメリカのサイバーセキュリティ機関CISAは今週末、ハッカーがこの脆弱性を積極的に悪用していると警告しました。マイクロソフトは、影響を受けたすべてのSharePointのバージョンに対するパッチをまだ提供しておらず、世界中の顧客が進行中の侵入に対して防御が難しい状況にあります。
マイクロソフトによれば、正式名称CVE-2025-53770とされるこの脆弱性は、企業が自社サーバー上で設定・管理するSharePointのバージョンに影響を与えるということです。SharePointは、企業が内部ファイルを保存、共有、管理するためのプラットフォームです。
マイクロソフトは、ハッカーがこの脆弱性を悪用するのを防ぐためのセキュリティ修正に取り組んでいるとしています。この欠陥は「ゼロデイ」とされ、ベンダーが脆弱性を認識する前にパッチを適用する時間が与えられなかったことを意味します。SharePoint Server 2016のような古いバージョンにも影響があります。
現時点でどれだけのサーバーが侵害されたかは不明ですが、ソフトウェアに依存する数千の中小企業が影響を受けている可能性があるということです。ワシントン・ポストによると、アメリカのいくつかの連邦機関、大学、エネルギー会社がすでに攻撃を受けていると報じられています。
Eye Securityは土曜日にこの脆弱性を最初に公開し、その時点で「数十」のマイクロソフトSharePointサーバーがオンラインで積極的に悪用されていることを確認したと発表しました。この脆弱性が悪用されると、ハッカーはSharePointサーバーからデジタルキーを盗むことができ、ログイン資格情報を必要とせずにサーバーにアクセス可能となります。侵入後、ハッカーはリモートでマルウェアを仕込み、保存されたファイルやデータにアクセスすることができます。Eye Securityは、SharePointがOutlookやTeams、OneDriveなどの他のアプリと連携しているため、さらなるネットワークの妥協やデータ盗難が発生する可能性があると警告しています。
Eye Securityは、デジタルキーの盗難がサーバー上で正当なリクエストを偽装するために使用されるため、影響を受けた顧客は脆弱性のパッチを適用するとともに、デジタルキーを更新する追加の措置を講じる必要があるとしています。
CISAなどは、顧客に対し「直ちに推奨される行動を取る」よう呼びかけています。パッチや緩和策がない場合、顧客は影響を受ける可能性のあるシステムをインターネットから切断することを検討するべきだとしています。
「インターネットに公開されているSharePointがある場合、既に侵害されていると考えるべきだ」と、Palo Alto Networksの脅威インテリジェンス部門Unit 42の責任者であるマイケル・シコルスキー氏はTechCrunchへのメールで述べています。
SharePointサーバーを攻撃しているのが誰なのかはまだわかっていませんが、これは近年マイクロソフトの顧客を標的にした一連のサイバー攻撃の最新例です。
2021年には、ハフニウムと呼ばれる中国支援のハッカーグループが、セルフホスト型のマイクロソフトExchangeメールサーバーに見つかった脆弱性を悪用し、世界中の企業からメールや連絡先データを大量にハッキングし、流出させました。ハッカーは60,000台以上のサーバーを侵害したとされ、最近の司法省の起訴状では、中国人2名がこの作戦を主導したとされています。
2年後、マイクロソフトは、同社が直接管理するクラウドシステムへのサイバー攻撃を確認し、中国のハッカーが消費者および企業のメールアカウントへのアクセスを許可する機密なメール署名キーを盗んだことを認めました。
また、マイクロソフトはロシア政府と関連するハッカーからの度重なる侵入も報告しています。
SharePointのサイバー攻撃についての詳細をご存知ですか?影響を受けた顧客ですか?暗号化メッセージでこの記者に安全に連絡してください。Signalでzackwhittaker.1337にて。
このストーリーの初期バージョンでは誤ったCVE番号が記載されていましたが、正しい脆弱性CVE-2025-53770に訂正されました。