2025年8月、Microsoftは一部のオンプレミス型SharePointサーバーが中国系ハッカーによって標的にされたと発表しました。クラウド型のSharePoint Onlineサービスではなく、企業内に設置されたオンプレミス型サーバーの脆弱性が悪用されたとされます。
主に関与が疑われる3つのグループ
- Linen Typhoon(旧:APT31)… 政府、戦略計画機関、人権団体などへの知的財産窃取を目的とした活動を13年継続
- Violet Typhoon(旧:APT15)… 元政府職員、メディア、教育機関、NGOなどを狙うスパイ活動主体
- Storm-2603… Microsoftが「中国拠点の脅威アクター」と中程度の確信で評価
攻撃の手法と影響
攻撃は、SharePointサーバーにリクエストを送り、暗号化に使われる「キーマテリアル」を盗むというものです。これにより、ハッカーは被害者のデータに長期的にアクセス可能な状態を維持できるようになります。
実際に英国国家サイバーセキュリティセンター(NCSC)も「限定的ながら英国国内の顧客にも影響が出た」と報告。Google Cloud傘下のMandiant社のCTOであるチャールズ・カルマカル氏によると、複数の地域・業種で被害が確認されており、特に政府や企業のSharePointユーザーが狙われたとされています。
Microsoftの対応と注意喚起
Microsoftはすでにセキュリティアップデートを提供しており、全てのオンプレミス型SharePointユーザーに対して早急な適用を呼びかけています。
また、Microsoftは「この脆弱性を利用した他の攻撃者の調査も進行中であり、今後も標的にされるリスクが高い」と警告しています。
中国側の反応
在米中国大使館の報道官・劉鵬宇氏は声明で「中国はあらゆるサイバー攻撃・犯罪に断固として反対する。根拠のない中傷も断固として拒否する」とX(旧Twitter)に投稿しました。
今後の対策
- オンプレミス型SharePointを使用している場合は、すぐに最新のセキュリティパッチを適用する
- 不審な通信やアクセス履歴の調査
- クラウド型(SharePoint Online)への移行検討
今後も新しい情報が公開され次第、Microsoft公式ブログや本ブログでも随時更新していきます。
コメント