Microsoft SharePointのオンプレミス版に深刻なゼロデイ脆弱性が発見され、世界中で大規模なサイバー攻撃が発生している。タイ政府機関や企業も攻撃対象となっており、国家サイバーセキュリティ庁(NCSA)が緊急警告を発出する事態となった。この脆弱性は既に100以上の組織で悪用されており、即座の対応が求められる。
過去のセキュリティ課題から見えたパターン
オンプレミス型システムへの攻撃は今回が初めてではない。過去にはProgress MOVEit TransferやFortra GoAnywhereといったファイル管理システムが繰り返し標的となってきた。これらの攻撃には共通点がある。複雑なアーキテクチャ、パッチ適用の遅延、高価値データの保存、そして予測可能なシステム構造だ。
SharePointも同様の脆弱性を抱えていた。特にレガシーシステムとして運用されているオンプレミス版は、クラウド版と比較してセキュリティ更新の管理が困難になっている。今回の攻撃は、こうした構造的問題が表面化した典型例といえる。
「ToolShell」攻撃の深刻な実態
今回の攻撃は「ToolShell」と呼ばれ、3つの脆弱性(CVE-2025-53770、CVE-2025-49706、CVE-2025-49704)を組み合わせた巧妙な手法だ。攻撃者は認証を必要とせずにシステムに侵入し、暗号化キー(MachineKeys)を窃取している。これにより、パッチ適用後も永続的なアクセスを維持できる状況が生まれている。
最も懸念されるのは攻撃の帰属先だ。Microsoftの調査により、中国の国家支援型グループ「Linen Typhoon」「Violet Typhoon」、および金銭目的の「Storm-2603」が関与していることが判明した。Storm-2603はランサムウェアの展開まで行っており、企業データの暗号化被害も発生している。
影響を受けるのはSharePoint Server 2016、2019、Subscription Editionのオンプレミス版のみで、クラウド版のSharePoint Onlineは安全だ。しかし、多くの企業がコスト削減や管理の利便性からオンプレミス版を選択しており、潜在的な被害は広範囲に及ぶ。
従来のEDR(Endpoint Detection and Response)ソリューションでは、この種の攻撃を検出することが困難だった。攻撃がアプリケーションレベルで実行されるため、エンドポイントでの振る舞い分析では見逃されてしまう。そのため、ファイル整合性監視(FIM)や包括的なログ収集が重要となる。
タイでの影響と政府の対応
タイではMicrosoft製品の導入が政府機関と民間企業の両方で進んでいる。特に政府のクラウドファースト政策により、Microsoftとの連携が深まっているが、レガシーシステムとしてオンプレミス版SharePointを運用している組織も多い。
NCSAは既にCVE-2025-53770の深刻度をCVSS 9.8として警告を発出している。特に「spinstall0.aspx」のような疑わしいファイルの監視、AMSI(Antimalware Scan Interface)の有効化、Microsoft Defender Antivirusの展開を緊急対策として推奨している。
タイのサイバーセキュリティ環境は既に厳しい状況にある。2025年1月から5月の間に1,002件以上のサイバーインシデントが報告され、63%以上の組織がデータ侵害を経験している。今回のSharePoint脆弱性は、こうした状況をさらに悪化させる可能性が高い。
BKK IT Newsとしての見解と今後の予想
今回の攻撃は、オンプレミスシステムの根本的なリスクを浮き彫りにした。パッチ適用だけでは不十分で、攻撃者が窃取したMachineKeyにより永続的なアクセスが維持される可能性がある。これは、単純なパッチ適用を超えた包括的な対応が必要であることを意味する。
特に懸念されるのは、中国の国家支援型グループが関与していることだ。これらのグループは知的財産の窃取や長期的なスパイ活動を目的としており、単発的な攻撃では終わらない可能性が高い。Storm-2603によるランサムウェア攻撃も並行して発生しており、企業は複数の脅威に同時に対処する必要がある。
タイの場合、パッチ適用の遅延やセキュリティ人材不足といった既存課題により、被害が長期化するリスクがある。特にASEAN地域での米中技術競争が激化する中、サイバーセキュリティは国家安全保障の問題としても捉える必要がある。
企業が取るべき緊急対応策
まず、影響を受けるSharePointサーバーの特定と隔離が必要だ。可能であれば、パッチ適用までの間、サーバーをインターネットから切断することが推奨される。切断が困難な場合は、認証ゲートウェイやVPNを通じたアクセス制限を実装すべきだ。
Microsoftが提供するセキュリティ更新プログラムの即座の適用は最優先事項だ。しかし、それだけでは不十分で、ASP.NET MachineKeyのローテーションとIISの再起動も必須となる。これにより、攻撃者が窃取したキーを無効化できる。
長期的には、Zero Trustアーキテクチャの導入を検討すべきだ。ネットワークセグメンテーションの強化、最小特権の実施、継続的なリスクベースのアクセス制御により、攻撃者の水平移動を防止できる。また、ファイル整合性監視(FIM)ソリューションの導入により、ウェブシェルのアップロードなどの異常を早期検出することが可能になる。
クラウド移行も重要な選択肢だ。SharePoint Onlineは今回の脆弱性の影響を受けておらず、Microsoftがセキュリティ更新を自動的に管理している。オンプレミス版の運用リスクを考慮すると、クラウドネイティブソリューションへの移行を加速すべき時期に来ている。
参考記事
- Microsoft SharePoint zero-day breach hits 75 servers: Here’s what the company said on the attack
- Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770)
- Disrupting active exploitation of on-premises SharePoint vulnerabilities | Microsoft Security Blog
- แจ้งเตือนช่องโหว่ร้ายแรง (Critical Vulnerabilities) ใน Microsoft SharePoint – NCSA Webboard
- มี ‘100 องค์กร’ โดนเจาะแล้ว! ผ่าน ‘SharePoint’ ของ Microsoft – กรุงเทพธุรกิจ
