世界を動かす技術を、日本語で。

外国のハッカーがSharePointの脆弱性を利用して米国の核兵器工場に侵入

2025年10月22日原文(csoonline.com)

概要

  • Kansas City National Security Campus (KCNSC) が外国の脅威アクターにより サイバー侵害 被害
  • 攻撃は Microsoft SharePointの未修正脆弱性 を悪用
  • 中国系とロシア系 脅威アクターの関与が疑われるが、特定は困難
  • IT/OT(運用技術)間の セキュリティギャップ が浮き彫りに
  • 非機密情報 の流出でも戦略的リスクが存在

カンザスシティ国立安全保障キャンパスへのサイバー侵害

  • 2024年8月、 KCNSC(Kansas City National Security Campus) が外国の脅威アクターによって侵害

  • NNSA(National Nuclear Security Administration) 傘下の重要製造拠点

  • 攻撃者は Microsoft SharePointの脆弱性(CVE-2025-53770とCVE-2025-49704) を悪用

  • Microsoftは 7月19日に修正パッチ を公開

  • NNSAは7月22日に被害を確認、影響は限定的と主張

    • 影響を受けたシステムは 全体のごく一部
    • Microsoft M365クラウド や高度なサイバーセキュリティシステムにより被害抑制
  • NSAや連邦対応チーム が現地で対応

  • KCNSCは 米国核兵器の非核部品の約80% を製造

  • Honeywell Federal Manufacturing & Technologies (FM&T) が運営

攻撃者の特定と手法

  • Microsoftは中国系グループ(Linen Typhoon, Violet Typhoon, Storm-2603) を主犯と指摘

  • Warlockランサムウェアの展開準備 も確認

  • 一方、 現場関係者はロシアの脅威アクター の関与を主張

  • Resecurity社は中国系国家アクターを最有力視、ただしロシアの関与も否定せず

    • Viettel Cyber Security によるPwn2Own Berlinでの実演が脆弱性悪用の拡散を加速
    • 台湾、ベトナム、韓国、香港などからの 初期スキャン活動 を観測
    • MAPP(Microsoft Active Protections Program)の悪用 が根本原因と指摘
  • ゼロデイからNデイへの移行 で複数の攻撃者が便乗

ITとOTのセキュリティギャップ

  • 攻撃は KCNSCのITシステム が標的

  • OT(運用技術)システムへの横展開 リスクが懸念

  • OT専門家はエアギャップやネットワーク分離 の重要性を強調

    • ただし、 完全な分離は保証できず、IT経由での侵入可能性も指摘
    • 設計、製造、緊急対応、サプライチェーン管理 など多機能の連携が存在
  • PLCやSCADAシステム への影響リスク

  • IT/OT統合とゼロトラストギャップ が課題

    • 連邦政府はIT向けゼロトラストを推進中
    • DoDがOT向けのゼロトラスト指針 を策定中
    • IT/OT両面でのゼロトラスト統合 が今後の課題

非機密情報流出の戦略的リスク

  • 金銭目的のランサムウェア攻撃 の可能性も

  • 非機密技術情報でも戦略的価値 を持つ

    • 例:部品の精度要件やサプライチェーン情報など
    • 兵器製造に関する詳細な非機密情報 も敵対者にとって有用
  • IT/OTの境界が曖昧化 し、物理的運用への影響リスクが拡大

NNSA職員の一時帰休

  • DOE(Department of Energy)はNNSA職員の大部分を一時帰休 と発表
  • 2000年のNNSA設立以来初の措置

本件は米国防衛インフラのIT/OT統合セキュリティの脆弱性 と、 機密外情報の戦略的重要性 を浮き彫りにする事例。今後は ゼロトラストの全体適用運用現場の防御強化 が急務。

Hackerたちの意見

SharePointは、私が使った中で最悪の、バグだらけのソフトウェアの一つだね。Solidworks(3Dデザインソフト)とのバグがあって、ファイルが完全に開けなくなることがあるんだけど、メタデータをいじらないといけない。これについては彼らも知ってるみたいだけど、修正するための制限はないはずなのに、何年もそのまま放置されてる。マイクロソフトのクラウドストレージ全体が、何を探しているのか、どこにあるのか、動くのか全く分からない、めちゃくちゃな状態だよ。ブラウザでしか動かないものもあれば、アプリでしか動かないものもあって、そういう情報がどこにもない。全然驚かないし、もっとたくさんの脆弱性があるんだろうね。

Microsoft Wordオンラインは、FirefoxのLinux(他のもかも)で、少なくとも2年間はテキストを消しちゃうバグがあるんだよね。[1] テキストエディタに求める一番の機能は、文書にテキストを書き込むことなのに、どうしてこのバグが修正されないのか理解できない。ビジネスのOffice 365の有料顧客にとっては優先事項だと思うけど、何も進展がない。結局、有料のOverleafに切り替えて、非技術系のメンバーにLaTeXの書き方や内蔵エディタの使い方を教える方が簡単だった。文書は美しいし、Overleafは全く問題なく動くから、彼らの解決策にはとても満足してる。マイクロソフトは恥を知るべきだよ。真剣な制作作業に使うなんて、誰が考えるんだろうね。[1] https://learn.microsoft.com/en-us/answers/questions/5216132/...

最近、マイクロソフトの何かに触れるたびに、いろんなバグやら不具合に直面するし、最もイライラするのは、めちゃくちゃ遅いことだよ。最近、365でメールを扱うための新しいサブドメインを設定しようとしたんだけど、彼らのDKIM設定セクションを見つけるのが一苦労だった。見つけたら、DNSチェックがメール用のサブドメインを正しく処理できないことが分かって、DKIMキーをルートドメインに設定しなきゃいけなかった。天才だね!

rsyncを使って、MSがホストしているSharePointにコンテンツを同期してるんだけど、ファイルが届くと内部のメタデータが変わって、チェックサムが変わるから、rsyncは内容が違うと思って再同期が必要になるんだ。

彼らのサービスの多くにとって重要なバックボーンなのに、ほとんど忘れ去られた子供のように扱われてる。

今、政府の契約で働いてるんだけど、みんなをSlackからTeamsに移行させるのを強制されてる。なんとか20年近く、MSの製品を避けてきたのに。企業や政府の世界では、ユーザーエクスペリエンスの痛みに対する耐性が無限大みたいだね。

ファイルはどれくらいの大きさなの?

中国人が開発・維持していて、技術的でないエスコートが彼らの作業を監視している。

最近、SharePointをさらにめちゃくちゃにしてるみたい。会社の会議の録音がどこにあるか探しに行ったんだけど、SharePointのブックマークに行ったら、変なことにwww.office.comになってた。以前の悪夢のようなリブランドの後でね。以前はSharePointファイルにアクセスする方法だったのに、今はただのコパイロットの画面が全画面で表示されて、ファイルがどこにあるのか全く分からない。何年もこのブックマークを訪れてきたのに、SharePointファイルにアクセスするために。じゃあ、Bingで「SharePointにサインイン」を検索してみる。トップの結果はoffice.com。無視する。次の結果は: https://support.microsoft.com/en-gb/office/sign-in-to-sharep... これが https://m365.cloud.microsoft/ にリンクされてる。いいね、でもダメ!コパイロットに戻される。ファイルが必要なときに毎回コパイロットに探させたくないんだ。ディレクトリリストに戻って、会社の会議の録音を見つけたいのに。MSは、すべてのUXをコパイロットに置き換えることが改善にならないってことをどうして理解できないの?コパイロットの販売にも役立ってないのに。

核分裂施設をインターネットに置くやつは、牢屋にぶち込むべきだ。

ハハハ、国家安全保障に関わるものの近くにSharePointを導入するなんて、どれだけバカなんだろう!こんな敏感な問題に関わる人が、どうしてMS製品のSharePointに触れることができるのか理解できない。MS Office 365の完全な災害スイートや、MS Teams、Edgeも含まれてるし。彼らはセキュリティポリシーを真剣に見直す必要があるね。

でも、無料で手に入るものを見てみてよ! /s

Hacker Newsで議論の続きを見る