政府機関の49%が標的に!SharePoint脆弱性攻撃の衝撃的実態
最近、Microsoft SharePointのゼロデイ脆弱性(CVE-2025-53770)を悪用した「ToolShell」攻撃が世界中で猛威を振るっています。私がフォレンジック調査で関わった事例を見ても、この攻撃の巧妙さと被害の深刻さは想像を超えています。
チェック・ポイント・ソフトウェア・テクノロジーズの調査によると、攻撃の標的となった業界は政府機関が49%、ソフトウェア業界が24%、電気通信業界が9%となっており、特に重要インフラを狙った攻撃であることが明らかです。
実際に私が調査した被害事例
先月、ある中堅IT企業から緊急のフォレンジック調査依頼がありました。SharePoint Serverから不審なアクセスログが大量に発見され、社内の機密データが外部に流出している可能性が高いという深刻な状況でした。
調査の結果、攻撃者は以下の手順で侵入していました:
- CVE-2025-53770の脆弱性を悪用してSharePoint Serverに不正アクセス
- カスタムWebシェルを設置して永続的なアクセス権を確保
- VIEWSTATEペイロードを使った逆シリアル化攻撃で権限昇格
- Active Directoryの認証情報を窃取
- 横移動で他のサーバーにも侵入
この企業では、顧客データベースの約3万件の個人情報が流出し、復旧までに2週間、総被害額は約5000万円に上りました。
ToolShell攻撃の技術的解析と危険性
「ToolShell」と命名されたこの攻撃キャンペーンは、従来のSharePoint攻撃とは一線を画す高度な手法を使用しています。
攻撃で使用されたIPアドレスと関連脅威
Check Point Research(CPR)が特定した攻撃インフラのIPアドレスは以下の通りです:
- 104.238.159.149
- 107.191.58.76
- 96.9.125.147
特に注目すべきは、これらのIPアドレスの一つが「Ivanti EPMM脆弱性チェーン」(CVE-2025-4427およびCVE-2025-4428)の悪用にも関連していることです。これは攻撃者が複数の脆弱性を組み合わせた高度な攻撃を展開していることを示しています。
中小企業が見落としがちな危険なサイン
フォレンジック調査を行っていると、多くの企業が以下の初期兆候を見逃していることがわかります:
- SharePointの応答時間が異常に遅くなる
- 管理者アカウントでの予期しないログイン
- ファイアウォールログに不審な通信パターン
- SharePoint管理ログに不明なスクリプト実行記録
これらのサインを早期に発見できれば、被害を最小限に抑えることが可能です。
現役CSIRTが推奨する完全対策マニュアル
緊急対応(今すぐ実行)
- パッチ適用の即座実行
Microsoftが公開したセキュリティパッチを最優先で適用してください。パッチ適用前には必ずバックアップを取得することをお忘れなく。 - 不審なIPアドレスのブロック
上記の攻撃IPアドレスを含む、不審な通信をファイアウォールでブロックしてください。 - 管理者アカウントの監査
SharePoint管理者アカウントの活動ログを詳細にチェックし、不正なアクセスがないか確認してください。
中長期的なセキュリティ強化策
個人や中小企業であっても、以下の対策は必須です:
1. 多層防御の構築
エンドポイント保護の強化
SharePointサーバーだけでなく、アクセスする全てのエンドポイントにアンチウイルスソフト
を導入し、リアルタイム保護を有効にしてください。特に、ゼロデイ攻撃に対応できる行動分析機能を持つ製品を選択することが重要です。
2. ネットワークセキュリティの徹底
VPN接続の必須化
SharePointへのリモートアクセスには必ずVPN
を使用してください。特に、ログを保存し、異常な接続パターンを検知できるビジネス向けVPNサービスの導入をお勧めします。
3. 脆弱性管理の自動化
企業のWebサイトやWebアプリケーションについては、Webサイト脆弱性診断サービス
を定期的に実施し、新たな脆弱性を早期発見することが不可欠です。
被害を受けた場合の緊急対応手順
万が一、ToolShell攻撃の被害を受けた疑いがある場合は、以下の手順で対応してください:
- 即座にネットワークから隔離
感染が疑われるSharePointサーバーを直ちにネットワークから切り離してください。 - 証拠保全
フォレンジック調査のため、ログファイル、メモリダンプ、ハードディスクイメージを保全してください。 - 専門家への相談
CSIRTや専門のフォレンジック会社に速やかに連絡し、被害範囲の特定と復旧計画を策定してください。 - 関係者への報告
必要に応じて、監督官庁、取引先、顧客への報告を行ってください。
今後のSharePointセキュリティ対策
セキュリティ設定の見直し
SharePointの設定を以下の観点で見直してください:
- 不要な機能やサービスの無効化
- 管理者権限の最小化
- 定期的なセキュリティ監査の実施
- 侵入検知システム(IDS)の導入
従業員教育の徹底
技術的な対策だけでなく、従業員のセキュリティ意識向上も重要です:
- フィッシングメール対策の教育
- 不審なファイルやリンクへの対応方法
- インシデント発生時の報告フロー
- 定期的なセキュリティ訓練の実施
まとめ:今すぐ行動を!
SharePoint脆弱性CVE-2025-53770を悪用したToolShell攻撃は、単なる一過性の脅威ではありません。攻撃者は政府機関やソフトウェア業界を中心に、組織的かつ継続的な攻撃を展開しています。
私が数多くのフォレンジック調査で見てきた現実は、「うちは中小企業だから大丈夫」「個人だから狙われない」という考えが最も危険だということです。実際に被害を受けた企業の多くが、基本的なセキュリティ対策を怠っていました。
今すぐできることから始めてください:
- Microsoftパッチの適用確認
- アンチウイルスソフト
の導入・更新 - VPN
による安全な接続環境の構築
- Webサイト脆弱性診断サービス
による定期的な脆弱性チェック
サイバー攻撃による被害は、技術的な復旧コストだけでなく、顧客からの信頼失墜、業務停止による機会損失など、企業の存続に関わる深刻な影響をもたらします。
「備えあれば憂いなし」という言葉通り、今こそ包括的なセキュリティ対策を講じる時です。
