ハクソク

世界を動かす技術を、日本語で。

外国のハッカーがSharePointの脆弱性を利用して米国の核兵器工場に侵入

216日前原文(csoonline.com)

概要

  • Kansas City National Security Campus (KCNSC) が外国の脅威アクターにより サイバー侵害 被害
  • 攻撃は Microsoft SharePointの未修正脆弱性 を悪用
  • 中国系とロシア系 脅威アクターの関与が疑われるが、特定は困難
  • IT/OT(運用技術)間の セキュリティギャップ が浮き彫りに
  • 非機密情報 の流出でも戦略的リスクが存在

カンザスシティ国立安全保障キャンパスへのサイバー侵害

  • 2024年8月、 KCNSC(Kansas City National Security Campus) が外国の脅威アクターによって侵害

  • NNSA(National Nuclear Security Administration) 傘下の重要製造拠点

  • 攻撃者は Microsoft SharePointの脆弱性(CVE-2025-53770とCVE-2025-49704) を悪用

  • Microsoftは 7月19日に修正パッチ を公開

  • NNSAは7月22日に被害を確認、影響は限定的と主張

    • 影響を受けたシステムは 全体のごく一部
    • Microsoft M365クラウド や高度なサイバーセキュリティシステムにより被害抑制

  • NSAや連邦対応チーム が現地で対応

  • KCNSCは 米国核兵器の非核部品の約80% を製造

  • Honeywell Federal Manufacturing & Technologies (FM&T) が運営

攻撃者の特定と手法

  • Microsoftは中国系グループ(Linen Typhoon, Violet Typhoon, Storm-2603) を主犯と指摘

  • Warlockランサムウェアの展開準備 も確認

  • 一方、 現場関係者はロシアの脅威アクター の関与を主張

  • Resecurity社は中国系国家アクターを最有力視、ただしロシアの関与も否定せず

    • Viettel Cyber Security によるPwn2Own Berlinでの実演が脆弱性悪用の拡散を加速
    • 台湾、ベトナム、韓国、香港などからの 初期スキャン活動 を観測
    • MAPP(Microsoft Active Protections Program)の悪用 が根本原因と指摘

  • ゼロデイからNデイへの移行 で複数の攻撃者が便乗

ITとOTのセキュリティギャップ

  • 攻撃は KCNSCのITシステム が標的

  • OT(運用技術)システムへの横展開 リスクが懸念

  • OT専門家はエアギャップやネットワーク分離 の重要性を強調

    • ただし、 完全な分離は保証できず、IT経由での侵入可能性も指摘
    • 設計、製造、緊急対応、サプライチェーン管理 など多機能の連携が存在

  • PLCやSCADAシステム への影響リスク

  • IT/OT統合とゼロトラストギャップ が課題

    • 連邦政府はIT向けゼロトラストを推進中
    • DoDがOT向けのゼロトラスト指針 を策定中
    • IT/OT両面でのゼロトラスト統合 が今後の課題

非機密情報流出の戦略的リスク

  • 金銭目的のランサムウェア攻撃 の可能性も

  • 非機密技術情報でも戦略的価値 を持つ

    • 例:部品の精度要件やサプライチェーン情報など
    • 兵器製造に関する詳細な非機密情報 も敵対者にとって有用

  • IT/OTの境界が曖昧化 し、物理的運用への影響リスクが拡大

NNSA職員の一時帰休

  • DOE(Department of Energy)はNNSA職員の大部分を一時帰休 と発表
  • 2000年のNNSA設立以来初の措置

本件は米国防衛インフラのIT/OT統合セキュリティの脆弱性 と、 機密外情報の戦略的重要性 を浮き彫りにする事例。今後は ゼロトラストの全体適用運用現場の防御強化 が急務。

Hackerたちの意見

SharePointは、私が使った中で最悪の、バグだらけのソフトウェアの一つだね。Solidworks(3Dデザインソフト)とのバグがあって、ファイルが完全に開けなくなることがあるんだけど、メタデータをいじらないといけない。これについては彼らも知ってるみたいだけど、修正するための制限はないはずなのに、何年もそのまま放置されてる。マイクロソフトのクラウドストレージ全体が、何を探しているのか、どこにあるのか、動くのか全く分からない、めちゃくちゃな状態だよ。ブラウザでしか動かないものもあれば、アプリでしか動かないものもあって、そういう情報がどこにもない。全然驚かないし、もっとたくさんの脆弱性があるんだろうね。

Microsoft Wordオンラインは、FirefoxのLinux(他のもかも)で、少なくとも2年間はテキストを消しちゃうバグがあるんだよね。[1] テキストエディタに求める一番の機能は、文書にテキストを書き込むことなのに、どうしてこのバグが修正されないのか理解できない。ビジネスのOffice 365の有料顧客にとっては優先事項だと思うけど、何も進展がない。結局、有料のOverleafに切り替えて、非技術系のメンバーにLaTeXの書き方や内蔵エディタの使い方を教える方が簡単だった。文書は美しいし、Overleafは全く問題なく動くから、彼らの解決策にはとても満足してる。マイクロソフトは恥を知るべきだよ。真剣な制作作業に使うなんて、誰が考えるんだろうね。[1] https://learn.microsoft.com/en-us/answers/questions/5216132/...

最近、マイクロソフトの何かに触れるたびに、いろんなバグやら不具合に直面するし、最もイライラするのは、めちゃくちゃ遅いことだよ。最近、365でメールを扱うための新しいサブドメインを設定しようとしたんだけど、彼らのDKIM設定セクションを見つけるのが一苦労だった。見つけたら、DNSチェックがメール用のサブドメインを正しく処理できないことが分かって、DKIMキーをルートドメインに設定しなきゃいけなかった。天才だね!

rsyncを使って、MSがホストしているSharePointにコンテンツを同期してるんだけど、ファイルが届くと内部のメタデータが変わって、チェックサムが変わるから、rsyncは内容が違うと思って再同期が必要になるんだ。

彼らのサービスの多くにとって重要なバックボーンなのに、ほとんど忘れ去られた子供のように扱われてる。

今、政府の契約で働いてるんだけど、みんなをSlackからTeamsに移行させるのを強制されてる。なんとか20年近く、MSの製品を避けてきたのに。企業や政府の世界では、ユーザーエクスペリエンスの痛みに対する耐性が無限大みたいだね。

ファイルはどれくらいの大きさなの?

中国人が開発・維持していて、技術的でないエスコートが彼らの作業を監視している。

最近、SharePointをさらにめちゃくちゃにしてるみたい。会社の会議の録音がどこにあるか探しに行ったんだけど、SharePointのブックマークに行ったら、変なことにwww.office.comになってた。以前の悪夢のようなリブランドの後でね。以前はSharePointファイルにアクセスする方法だったのに、今はただのコパイロットの画面が全画面で表示されて、ファイルがどこにあるのか全く分からない。何年もこのブックマークを訪れてきたのに、SharePointファイルにアクセスするために。じゃあ、Bingで「SharePointにサインイン」を検索してみる。トップの結果はoffice.com。無視する。次の結果は: https://support.microsoft.com/en-gb/office/sign-in-to-sharep... これが https://m365.cloud.microsoft/ にリンクされてる。いいね、でもダメ!コパイロットに戻される。ファイルが必要なときに毎回コパイロットに探させたくないんだ。ディレクトリリストに戻って、会社の会議の録音を見つけたいのに。MSは、すべてのUXをコパイロットに置き換えることが改善にならないってことをどうして理解できないの?コパイロットの販売にも役立ってないのに。

核分裂施設をインターネットに置くやつは、牢屋にぶち込むべきだ。

ハハハ、国家安全保障に関わるものの近くにSharePointを導入するなんて、どれだけバカなんだろう!こんな敏感な問題に関わる人が、どうしてMS製品のSharePointに触れることができるのか理解できない。MS Office 365の完全な災害スイートや、MS Teams、Edgeも含まれてるし。彼らはセキュリティポリシーを真剣に見直す必要があるね。

でも、無料で手に入るものを見てみてよ! /s

その件について、めちゃくちゃ悪いニュースがあるよ。

リゾートの公衆トイレにトップシークレットの核文書を保管してた男の話を聞いたら、驚くと思うよ…。

代わりに何をおすすめしますか?

OTシステムをサポートする会社として、パデュー・モデルのレベル5がレベル1と0に直接書き込みアクセスできるのを見るのは嫌だ。

上のコメントで使われている略語を説明しているリンク: https://www.paloaltonetworks.com/cyberpedia/what-is-the-purd...

ここでのタイムラインは面白いね。マイクロソフトが7月19日に情報と対策の指示を出して、7月22日にもっと詳しいレポートを出したんだ。これがそのコピーだよ: https://archive.ph/plNZU それによると、「8月のいつか」にその脆弱性がハネウェル管理の原子力施設に対して使われたらしい。パッチが当てられてなかったから、合ってるかな?だから、誰でもできた可能性があるし、アメリカでの核スパイ活動を行っているのはロシアや中国だけじゃないよね(イスラエルとかも?)。記事にも書いてあるけど: >「ゼロデイからNデイへの移行は、パッチをまだ適用していないシステムを二次的な攻撃者が利用するための窓を開いたと言われている。」それに、現代の核兵器に関するほとんどすべて、設計図も含めて、が関わっているみたいだね。信じられないほどの無能さだ。 >「ミズーリ州にあるKCNSCは、アメリカの核防衛システムで使用される非核機械、電子、エンジニアリング素材のコンポーネントを製造している。」

あのオフィスチェアから飛び降りたやつが、私たち全員の終わりになるだろう。

こういう投稿にはいつも通り、「ハハ、マイクロソフトはクソだ」って言う人が多いけど、ビジネスの実態を理解してないんだよね。エクスチェンジ使わない?それなら、何を使えばいいの?15人から15万人までサポートできるの?俺は70,000人のためにエクスチェンジクラスターを運用してたけど、他にディスク冗長性があるメールソフトってあるの?ユーザーが単一のエンドポイントに接続して、ソフトウェアがそこから処理するやつ。シェアポイントにさらに2つのRCEがある。驚かないけど、ソフトウェアはひどいね。でも、負荷に耐えられて、簡単にシャーディングできるのはこれだけ。オープンソースソフトウェアはその一つで、ホームラボでは問題なく動くけど、負荷がかかるとダメになることが多い。オープンソースの開発者はこういう面倒な仕事をしたがらないのも分かる。コンピュータに詳しくないエンドユーザーとのインターフェースは本当に面倒だからね。無料でこの仕事をするくらいなら、下水を飲む方がマシだ。最後に、ある程度の後方互換性はある。ほとんどの企業は20年間手をつけてない古いソフトウェアで溢れてる。1997年のマクロ付きExcelドキュメントとか。レジストリの変更でセキュリティが落ちても、まだ動くし。マイクロソフトオフィスレベルの互換性を使わない限り、そんな後方互換性のあるオフィスソフトは見つからないと思う。マイクロソフトはここで本当に厄介な状況にあって、「後方互換性は終わり。現代にアップグレードするか、出て行け」以外の解決策はほとんどない。そんな中、$ThreeJobsAgoから、Pythonで作ったエクスチェンジウェブサービスのソリューションをGraphAPIにアップグレードしてほしいって連絡が来た。マイクロソフトがOffice365でエクスチェンジウェブサービスを終了したから。

いや、これは核兵器の話だよ。機能とセキュリティ、どっちが大事なんて気にしてる場合じゃないでしょ?頑張れば、郵便で部門を運営することだってできるし。

オープンソースの開発者はこういう面倒な仕事をしたがらないのも分かる。コンピュータに詳しくないエンドユーザーとのインターフェースは本当に面倒だからね。無料でこの仕事をするくらいなら、下水を飲む方がマシだ。政府がそのオープンソースソフトウェアに取り組む人を雇って、公共の利益を提供することもできるのに。アメリカ政府はオバマ政権下で「18F」みたいなことを始めたんだ。それがアメリカの人々に役立つソフトウェアを作るのにすごく効果的だったから、トランプは2期目の2ヶ月後にそれをすぐに閉鎖した。無料で使える税務申告ソフトを開発したのが気に入らなかったからね。詳しくは見てみて。

エクスチェンジやシェアポイントがなかった時代、核兵器施設はどうやって機能してたんだろう?

伝統的なMS製品としてExchangeの話をしているのはわかるけど、今回の問題はSharePointについてだよね。Windowsと同じように、MicrosoftはExchangeでしっかりとした地盤を築いているけど、疑問なのは、なぜ多くの企業が彼らのエコシステム全体を導入するのかってこと。特にウェブ技術に関するものについては(Exchange Web Servicesのことも挙げてるし)、彼らは本当に下手くそだし、SharePointはその中でも最悪な部類だと思う。でも、150,000人規模で簡単にスケールするPostfixやDovecotの大規模インストールがあるのは確かだし、私たちはそれを知らないだけかもしれないね。例えば、こんな感じでやってる人たちの話があるよ:

なんでこのコメントがこんなに持ち上げられてるの?

Google WorkspaceやOffice365のホスティング版を使うのもアリだよ。ソフトウェアのセキュリティがどうしても分からない場合はね(こういう場所では、はっきりした説明がないことが多いし)。それに、メールサーバーが侵害されても工場自体が危険にさらされないように、役割を分けることができるのもいいところだよね(また、ITがネットワークをうまく分割できてなかったってことでもあるけど)。

地球上で、150,000人のユーザーをサポートするExchangeサーバーが必要な組織ってどれくらいあるんだろう?ほとんどの製造工場はこのカテゴリには入らないと思うけど。

Sharepointは企業向けのツールだけど、核シロに関しては「ソフトウェアや表面積が少ない方がいい」って考え方はどうかな?

これ、https://howfuckedismydatabase.com/mssql/を思い出すな。

リクルーターや友達の紹介から問い合わせが来たら、最初にその会社のメールドメインのMXレコードを調べるのが俺の習慣なんだ。マイクロソフトの会社かどうかを一発で確認できるから。もしそうなら、個人的には大きな赤信号だね。MSFTは人気だから、これはあくまで俺の経験だけど、20年間の経験から、MSFTのITスタックはその組織のエンジニアリング文化を嫌うことと強い相関があるって分かった。もちろん、Outlookやシェアポイント、Teamsを使ってる素晴らしいエンジニア文化の会社もたくさんあるのは知ってるけど、面接の時に考えつくどんな質問よりも、腐った技術文化を予測する力があったから、今でも使ってる。MSFT中心のエンジニアに対して失礼なことは言いたくないけど、これは俺の問題なんだ。

Outlookを使ってない会社?全部で5社?MS製品の統合度は会社によって色々だけど、Outlookはかなり基本的なものだよね。もし会社がSharePointやTeamsを使ってドキュメントを管理してるって言ったら、逃げた方がいいよ。ウィキじゃなきゃダメだね。

MXレコードからどうやってMicrosoftか分かるの?

一度、Excelを使ってアラートシステムをダウンさせたことがあるんだ(ちなみに、この話はMSFTのことよりも意図しない結果についてのもの)。 自分が持っているアラートシステムがあって、ログベースのアラートでは「alert_log」みたいなキーワードを探すんだ。 それで、アラートのデータを追跡するためにスプレッドシートを作って、その中の一つのシートを「alert_log」って名付けたら、アラートシステムが狂ったように動き出した。 CPUをめちゃくちゃ使って、処理されるアラートの数は急増するけど、実際に生成されるアラートはあまりない。 実は、クラウド版のExcelを使っていたから、入力したテキストがファイアウォールを通過してしまっていたんだ。 ファイアウォールのログには「alert_log」ってテキストが記録されて、アラートシステムはそれをアラートだと思い込む。でも、実際には本物のアラートじゃないから、アラート処理のアラートがトリガーされる。 その二つ目のアラートにはファイアウォールログのテキストが含まれていて、こうしてサイクルが始まる。 つまり、システムは変な動きをすることがあって、予想外のことを引き起こすことがあるんだ。だから、監査やレッドチーミング、ディフェンスインデプスが重要なんだよね。

ファイアウォールエンジニアとして、みんなにファイアウォールからのsyslogのトラフィックログを無効にするように言わなきゃいけない理由があるんだ。