【緊急解説】米エネルギー省へのサイバー攻撃の全貌｜SharePoint経由の攻撃手法と対策を専門家が分析

2024年7月、米国の核兵器安全管理を担うエネルギー省核安全保障局（NNSA）が、中国政府支援のハッカー集団によるサイバー攻撃を受けていたことが明らかになりました。

現役のCSIRT（Computer Security Incident Response Team）メンバーとして、この事件の技術的な側面と、私たち個人や中小企業が今すぐ取るべき対策について詳しく解説します。

事件の概要：SharePointを狙った巧妙な攻撃

今回の攻撃で特に注目すべきは、マイクロソフトのSharePointが攻撃経路として使われたことです。SharePointは多くの企業で文書共有や情報管理に使われているため、この攻撃手法は他の組織にとっても脅威となります。

実際のフォレンジック調査では、こうしたAPT攻撃は発見まで平均200日以上かかることが珍しくありません。今回も攻撃開始から発見まで相当な時間が経過していた可能性があります。

SharePointを標的にした攻撃では、以下のような手法が使われることが多いです：

フィッシングメールやマルウェアを使って、SharePointにアクセス可能なユーザーの認証情報を盗み取ります。実際に私が調査した中小企業の事例では、1通のフィッシングメールから始まって、最終的に顧客データベース全体が流出した案件もありました。

一般ユーザーのアカウントを乗っ取った後、システムの脆弱性を悪用して管理者権限を取得します。SharePointの設定ミスや未適用のセキュリティパッチが狙われやすいポイントです。

正規のSharePoint機能を悪用して、機密文書を外部のサーバーに送信します。この手法は通常のトラフィックに紛れるため、発見が困難です。

今回の事件を受けて、私たちが実施すべき具体的な対策をご紹介します：

多要素認証（MFA）の導入
SharePointやその他のクラウドサービスには必ず多要素認証を設定しましょう。これだけで80%以上の不正ログインを防げます。

信頼できるアンチウイルスソフトの導入
最新の脅威に対応できる高性能な保護システムが不可欠です。特に企業では、エンドポイント保護とネットワーク監視の両方が重要になります。

リモートワークが増えた現在、安全な通信環境の確保は必須です。VPN を活用することで、外部からの盗聴や中間者攻撃を防げます。

特に公共Wi-Fiを使用する際は、VPN接続なしでの業務は避けるべきです。実際に空港のWi-Fiから企業ネットワークに侵入された事例も複数確認しています。

中小企業であっても、今回のような国家レベルの攻撃の標的になる可能性があります。Webサイト脆弱性診断サービスを定期的に実施することで、潜在的な脆弱性を事前に発見・修正できます。

近年のサイバー攻撃は、単純なマルウェア感染から、より巧妙で長期的な攻撃へと進化しています。

製造業A社の事例
SharePointの設定ミスを狙った攻撃で、設計図面が流出。被害総額は2億円を超えました。攻撃者は3か月間システム内に潜伏していました。

医療機関B病院の事例
患者データベースへの不正アクセス。フィッシングメールから始まり、最終的に5万人分の個人情報が漏洩。復旧まで2週間を要しました。

今回のエネルギー省への攻撃は、国家インフラを狙った攻撃の一例に過ぎません。私たち個人や企業も、同様の手法で攻撃される可能性があります。

特に中小企業では、限られたリソースの中で効果的なセキュリティ対策を実施する必要があります。優先順位を明確にし、段階的に対策を強化していくことが重要です。

米エネルギー省への攻撃は、SharePointのような日常的に使用するツールが攻撃の入り口になることを示しています。

重要なのは、「自分は狙われない」と思わないことです。現在のサイバー攻撃は無差別に実行されることも多く、個人や中小企業も例外ではありません。

今日からでも実施できる対策：

サイバーセキュリティは「完璧」はありませんが、適切な準備と継続的な改善により、リスクを大幅に軽減できます。今回の事件を教訓に、自組織のセキュリティ体制を見直してみませんか？