普段、何気なく使っているSharePoint。
「うちの情報共有はこれで完璧」と思っていませんか?
でも実は、かなり危ない状況が進行しているんです。
2025年7月、ついに大規模攻撃が明るみに出ました。
1.何がわかるか:2025年夏、SharePointで実際に起きたこと
2025年7月中旬、Microsoftのオンプレミス版SharePoint Serverに対して、ゼロデイ攻撃が発生しました。
報告によると、約400の組織が被害にあった可能性があり、米国の政府機関や大学、ドイツの民間企業も含まれています。
Microsoftの発表では、攻撃者は中国と関係のあるハッカー集団(Linen Typhoonなど)で、対象となったのは主にオンプレSharePoint環境でした。
侵害は、CVE-2025-53770など4つの脆弱性を組み合わせて行われており、すでに現実の被害が出ています。
パロアルトネットワークスの分析では、「spinstall0.aspx」というWebシェルが使われ、内部の機密キー(MachineKey)が盗まれたケースも確認されています。
このキーが盗まれると、攻撃者は“正規ユーザー”を偽装してシステム内を自由に動き回れる状態に。
つまり、社内で完結していたはずの情報が外部に筒抜けになるリスクがあったということです。
2.なぜこんな事故が起きるのか:脆弱性と構成の落とし穴
ここで「なぜオンプレ環境が狙われたのか?」という点が気になりますよね。
最大の理由は、クラウドと違って手動アップデートが必要なことです。
脆弱性が見つかっても、パッチを当てないまま運用しているケースが意外と多いのです。
さらに今回のゼロデイ攻撃では、複数のCVEを組み合わせたチェーン攻撃が使われました。
- CVE-2025-49704:任意コード実行
- CVE-2025-53770:認証回避の脆弱性
- CVE-2025-53771:セッション乗っ取りの可能性
このように、1つ1つは小さな穴でも、連携して使われると「穴がトンネルになる」わけです。
そしてもう1つ。攻撃者が狙っていたのは「ファイル」や「ページ」だけでなく、環境そのものです。
「Webサーバーの中に入り込む」→「MachineKeyを奪う」→「何度でも侵入できるようにする」
この流れができあがると、被害は一過性では済みません。再発、継続的被害、内部スパイ化すら起こりうるのです。
🎁 Sponsors: Amazon | Prime | Music | Audible | Kindle Unlimited 🎁