ハクソク

世界を動かす技術を、日本語で。

米国の州機関に影響を与えた「Microsoft SharePoint」のグローバルハッキング、研究者が報告

309日前原文(washingtonpost.com)

概要

  • Microsoft SharePointサーバー の重大な脆弱性悪用による 世界的なサイバー攻撃 発生
  • 米国政府機関や企業、大学 など多数の組織が被害
  • ゼロデイ攻撃 であり、Microsoftは一部バージョンのみパッチ提供中
  • 被害範囲が広範 で、サーバー内の重要情報や暗号鍵が流出
  • 攻撃者特定は未完了 で、各国当局・企業が対応に追われる状況

Microsoft SharePointサーバー脆弱性を突いた世界的サイバー攻撃

  • Microsoft SharePointサーバー の深刻な脆弱性を利用した 大規模サイバー攻撃 の発生
  • 米国連邦・州政府機関、大学、エネルギー企業、アジアの通信会社 などで被害確認
  • SharePointサーバー はドキュメント共有・管理プラットフォームとして広く利用
  • 数万台規模 のサーバーが危険に晒されている現状
  • Microsoftは 一部バージョンのみパッチ提供、他バージョンは依然脆弱性が残存

ゼロデイ攻撃の特徴と影響範囲

  • 今回の攻撃は ゼロデイ攻撃 で、これまで知られていなかった脆弱性を悪用
  • クラウド(Microsoft 365等)ではなく、オンプレミスのSharePointサーバー が主な標的
  • Microsoftは初期対応として プログラムの修正やインターネットからの切断 を推奨
  • その後、 一部バージョンのみパッチをリリース、他バージョンは開発中
  • 暗号鍵の窃取 により、パッチ適用後も再侵入のリスクが残る点が特に深刻

被害状況と対応

  • CrowdStrike、Palo Alto Networks Unit 42、Eye Security など複数のセキュリティ企業が被害を確認
  • 商用・政府機関の数十組織 でサーバー侵害を特定
  • Outlook、Teams等の基幹サービスと連携 しているため、重要情報や認証情報の盗難リスク
  • 攻撃者は 暗号鍵を入手し、パッチ適用後も再侵入可能性 あり
  • 一部では 公開用ドキュメントリポジトリの乗っ取り やアクセス不能などの被害

攻撃者・目的・拡大状況

  • 攻撃者の身元や目的は未特定、中国や米国東部の州議会など幅広い標的
  • Eye Securityは50件以上の侵害 を追跡、エネルギー企業や欧州の政府機関も被害
  • 米国連邦機関2つ以上 が侵害被害、具体名は非公表
  • 一部州ではドキュメントが削除される「ワイパー攻撃」 の疑いも浮上
  • アリゾナ州など複数自治体が緊急対応会議 を実施

Microsoftと政府機関の対応・課題

  • CISA(米国土安全保障省サイバーセキュリティ庁) が問題発覚直後にMicrosoftへ連絡
  • Microsoftは過去にも類似脆弱性対応の遅れや限定的パッチで批判
  • クラウドサービスの脆弱性や中国系ハッカーによるメール流出事件 など、近年のセキュリティ課題
  • CISAの人員・予算削減 により、対応遅延や情報共有の課題が浮き彫り
  • スペイン、アルバカーキ、ブラジルの大学 など国際的な被害も確認

今後の見通しと推奨対応

  • Microsoftは未対応バージョンのパッチ開発を継続
  • すでに侵害された組織はパッチ適用だけでなく、暗号鍵の再発行やフォレンジック調査が必須
  • SharePointサーバー運用組織は即時の脆弱性診断とインシデント対応体制強化が急務
  • 情報共有・連携強化と、クラウド移行やセキュリティ監視の見直し が推奨
  • 今後も類似攻撃の再発リスク が高く、継続的な監視・アップデート対応が不可欠

Hackerたちの意見

また別の日、マイクロソフトの脆弱性が発覚。これで各国がLinuxに移行するのが早くなるかな?多分無理だろうね、こういう漏洩が多すぎてみんな無視してるし。昔みたいに、誰かがコンピュータールームに侵入して、持てるだけのマグテープを持ち去るっていうのが懐かしいな :)

ちょっと聞きたいんだけど、SharepointのLinux代替ってある?メタファー的に燃やされて海に捨てられても全然気にしないけど、結構多くの組織が使ってるんだよね。

オープンソースプロジェクトは国家に侵害されてるって前提で動いてる。人気のないアイデアを持ってるか、国家そのものであれば、頼らない方がいいよ。

ああ、心配しないで。FOSSにもたくさんの既知の未修正の脆弱性があるから。

なんで人々がマイクロソフトを使い続けるのか不思議だよね。昔は知らなかったけど、今は分かる。でも移行するのは面倒だから、苦しむ方を選ぶ!他の人も巻き込んで!LinuxやBSDの人たちの互換性へのこだわりが本当にうざい。彼らも苦しむべきだ!独占企業からすべてを買うと、考える必要がないからね。なんだかんだ言って、マイクロソフトにはいつも言い訳がある。責任を持てない?IBMについてのこの名言があるけど、「IBMを買ったことでクビになった人はいない」。でも、IBMにずっと苦しめられた話は思い出せないな。

これで各国がLinuxに移行するのが早くなるかな?国は政治家によって運営されてる。政治家が何かを覚えている能力は、口座に入ったお金の合計に反比例する。

ここには二つの脆弱性があるみたいだ。一つは認証されていないコマンドインジェクションの脆弱性で、キーを盗むことができるやつ。もう一つは、もちろん、また別のシリアライズに基づくRCEが安全な言語で、署名されたクッキー(ステップ1で盗まれたキーで署名された)によって仲介されてる。これがどれだけ人々の顔にバクハツしないと、彼らがこの設計をやめて、もっとバカで安全なものを使うようになるのか全然理解できない。

大量のダウンボートを受けるリスクを承知で言うけど、実は少しだけこれを望んでる自分がいる。企業ができるだけ早くSharepointを使わなくなることを願ってるんだ。マジで、2017年から使ってないけど、その頃使ってた時は毎日最悪だった。SHarepoIT Happensって書いてあるシャツを着て仕事に行ってたけど、同僚たちが唯一同意してくれたのは、Sharepointはクソだってことだった。何でもいいから他のものを使いたいって。

あなたに投票したよ…同じ気持ちだね。

上司が一年以上かけてSharePointの設定をさせようとしてた。6ヶ月経った頃にやっと中身を調べてみて、やっぱりやめるって言ったんだ。結局、彼は別の技術者を雇って、その人が「午後の間に」設定したらしい。彼には良かったね。でも誰も使わなかったよ。しかも、彼は俺の高速USBドライブを盗んだ。

残念だけど、SharePointは死なないよ。今日は実際にMicrosoftにとって素晴らしい日だね。これをきっかけに、みんなが彼らのクラウドソリューションに押し寄せてくるだろうし、みんなハッピーになるよ。全員じゃないかもしれないけど、Microsoftは確実にね。

$MSFTの株主のためにダウンボートを避けるために、俺のアップボートをどうぞ :) それでも、NFSの方がSharePointよりマシだよ。少なくとも、NFSはちゃんと動くし…

SharePointはクソだね。Nextcloudの方がずっとマシだし、あっちもあんまり評判良くないけど。それほど難しいわけじゃないよね…

良いニュースだよ。Teamsは実際にはSharePointなんだ。どこにも行かないよ。

M365を使わないのは、SharePoint(クラウドでもオンプレミスでも)を使わないのと同じことだよ。ここを見てみて:https://news.ycombinator.com/item?id=44640219 例えば、各M365 TeamsのチームはM365グループを作成し、それがSharePointサイトとExchangeメールボックスを作るんだ。TeamsのチャンネルファイルはそのSharePointサイトに保存されるし、チャンネルメッセージはExchangeメールボックスに保存される。TeamsにアップロードしたプライベートファイルはOneDrive(再ブランドされたSharePoint)に保存される。プライベートなTeamsメッセージは個別のExchangeメールボックスに保存される。M365はSharePointとExchangeで、すべてがその上に構築されているんだ。

うちの会社はSharePointと、ドキュメントやメモ用の別の内部サイト(NotionやQuip、Confluenceみたいな感じ)を使ってるんだけど、そっちのサイトは結構使いやすいんだ。ほとんどの開発者はそこで全部メモやドキュメントを書いてる。でも、何人かはどうしてもWordのドキュメントをSharePointにアップロードしたがるんだよね。だから、他のみんなもSharePointを使わざるを得なくて、何かを探すときは二回検索しなきゃいけないんだ。

最近行った大企業のSharePointは、今やOAuthを使ってて、Microsoft自身のSharePointクライアントAPIが壊れちゃってるんだ。あのソフトウェア全体が、時間と予算の無駄だよ。

DOGEの成果が見えてきてるのは興味深いね。「そのプロセスは土曜日の夜に6時間かかった — それは、脅威インテリジェンスとインシデントレスポンスチームが65%削減され、CISAが資金を削減したため、通常よりもずっと長くかかった」とローズは言った。

どの部分が一番ムカつくか分からないな。たくさんのプロが職を失って、公共サービスに戻れないかもしれないことか、それともその中で実際の無駄をほとんど見つけられなかったことか。まじで茶番だよ。

これって、要するに、みんなにこのクソみたいなクラウド製品を使わせるための自己ゴールだったのかな?

ここには基本的に二つのことが関係してる。MSのホスティング版SharePoint。どうやら今回の攻撃には影響を受けてないみたい。DOD(他のコメントでも出てきたけど)はこれをかなり使ってる。自分でSharePointのインスタンスをホスティングしてる人もいるし、オンプレミスのもあれば、レンタルのコンピュータを使ってるのもある。影響を受けてるのはこっち。問題は「クラウド」じゃなくて、ホスティングされたSharePointに脆弱性があって、それを利用されてるってこと。多くの組織が自分のSharePointインスタンスをオープンなインターネットに公開してるみたい。これらのホスティングインスタンスも古くてパッチが当たってないことが多いから、余計に厄介。DODの中のいくつかのユニットはこれを使ってるけど、全てではない。

被害者を責めるのは良くないけど、間違ってるわけでもない。株にたくさんお金を投資するのと似てる。2025年に公のSharePointサーバーを維持するリスクを取ったなら、今日は最悪の日だね。

自分で足を引っ張る企業を責めるのは全然アリだと思う。それは譲れないポイントだね。

CISAは脆弱な組織に対して[...] 影響を受けた製品を公に接続されたインターネットから切り離すようにアドバイスしています。自分のSharePointをオンプレミスでホスティングする手間をかけるのに、インターネットに接続したままにするのは興味深いね。これらの組織がVPNを強制するところに完全に含まれていると思ってたけど。

ああ、CISA… 有能な人たちが排除されて、政治的なコンプライアンスだけの悲しい組織になっちゃったのが残念だね。アリゾナは最近イランのハッカーに攻撃されて、CISAに助けを求めることすらしなかったよ。https://archive.is/2025.07.19-143305/https://www.azcentral.c... CISAは本当に重要なんだ。こういう広範囲にわたる攻撃やSalt Typhoon攻撃を調査するのは、この国にとって重要なんだけど、政治的な教義を何よりも重視する人たちが運営してるんだよね。https://www.techdirt.com/tag/cisa/

ベストプラクティスは、ネットワークが侵害されていると仮定することだね。VPNはみんなが思ってるほどの保証はないし。大規模な環境では、デバイスが定期的に紛失したり、壊れたり、廃棄されたりするからね。高いターゲット価値を持つ組織では、物理的な侵入があらゆる手段で起こる可能性があるって考えとかなきゃ。だから、そういうことはしないんだ。ゼロトラストを使って、インターネットにさらされてることを気にしない。どこからでも働ける(リモートサイト、家、スマホ)っていうのは大きな利点だよね。組織はデータを完全にコントロールしたいけど、同時にそのデータにアクセスできるようにしたいんだ。

SharePointに費やした時間が多すぎる。インターネットに接続するのは全然良いアイデアじゃなかった。元々の目的じゃないし、バージョンによってそのプロモーションの言葉も変わってきたけどね。中にはSharePointを「ウェブサーバー」として使いたい人もいたけど、そういうインストールは他のインスタンスとは完全に分けて設定してたよ。

プリンシパルエンジニアのCopilotは、どうしてこれを防げなかったの?!

ペンタゴンの職員が言ってるのをよく聞くけど、もし誰かがアメリカ軍を潰したいなら、SharePointを潰せばいいって。軍の人がスピーチするときの定番のジョークだよね。