米国核施設への史上最悪級サイバー攻撃が発覚
2025年7月23日、アメリカの核兵器管理を担う国家核安全保障機関(NNSA)が中国系攻撃グループによるサイバー攻撃を受けていたことが明らかになりました。
私は長年フォレンジック調査に携わってきましたが、これほど深刻な政府機関への攻撃は稀です。攻撃の入口となったのは、多くの企業でも利用されているMicrosoft SharePoint Serverの未修正脆弱性でした。
「うちは大丈夫」と思っている経営者の方、その認識は危険です。今回の攻撃手法は、規模を問わず全ての組織に応用できる手口だからです。
攻撃の全貌:「ToolShell」チェーンが明かす恐ろしい実態
今回の攻撃で使われた手法「ToolShell」は、4つの脆弱性を巧妙に組み合わせた高度な攻撃です:
- CVE-2025-49706:スプーフィング脆弱性で信頼関係を悪用
- CVE-2025-49704:リモートコード実行で管理者権限を奪取
- CVE-2025-53770、CVE-2025-53771:永続的なバックドア確保
攻撃者は以下の手順でシステムに侵入しました:
- SharePointのToolPaneエンドポイントに細工したリクエストを送信
- 「spinstall0.aspx」というWebシェルをサーバにアップロード
- 内部構成ファイルやMachineKeyの情報を窃取
- 永続的なバックドアを設置して継続的にアクセス可能な状態を維持
私が調査した類似事例
昨年、某製造業の中小企業でSharePoint攻撃の調査を担当しました。攻撃者は同様の手法で侵入し、約3ヶ月間気づかれることなく機密情報を窃取していました。被害額は数千万円に及び、取引先との信頼関係修復に1年以上を要したケースです。
中国系攻撃グループの正体と狙い
Microsoftの分析により、今回の攻撃には以下の中国政府関連とされる攻撃グループが関与していることが判明:
- Linen Typhoon:政府機関を標的とした長期潜伏型攻撃を得意とする
- Violet Typhoon:企業の知的財産窃取に特化
- Storm-2603:インフラ攻撃のスペシャリスト
これらのグループは極めて高度な技術力を持ち、攻撃痕跡を巧妙に隠蔽します。中国政府は関与を否定していますが、攻撃の手法や標的から国家級の支援があることは明らかです。
あなたの会社は大丈夫?SharePoint攻撃の危険度チェック
以下の項目に一つでも当てはまる企業は、今すぐ対策が必要です:
高リスク企業の特徴
- オンプレミス版SharePoint Serverを使用している
- セキュリティパッチの適用が遅れがち
- 外部からSharePointにアクセス可能な設定
- 定期的なセキュリティ監査を行っていない
- ログ監視体制が不十分
実際の被害事例
私が担当した調査では、以下のような被害が確認されています:
ケース1:建設会社(従業員200名)
SharePoint経由で侵入され、設計図面や入札情報を窃取。競合他社に情報が流出し、3件の大型案件を失注。損失額約2億円。
ケース2:医療機器メーカー(従業員150名)
開発中の医療機器の設計データが中国系企業に窃取される。類似製品の先行販売により市場シェアを失う。
今すぐ実行すべき緊急対策
1. 即座にパッチ適用
Microsoftが公開した修正パッチを最優先で適用してください。業務への影響を理由に先延ばしにするのは極めて危険です。
2. アクセスログの詳細確認
以下の痕跡がないか緊急チェック:
- ToolPaneエンドポイントへの不審なリクエスト
- 「spinstall0.aspx」ファイルの存在
- 通常時間外のSharePointアクセス
- 大量データのダウンロード履歴
3. ネットワーク分離
SharePointサーバを一時的に内部ネットワークから分離し、被害拡大を防止してください。
4. 包括的セキュリティ対策の導入
個人情報や機密データを扱う企業には、多層防御が不可欠です:
– **エンドポイント保護**:アンチウイルスソフト
で個々のPCを防御
– **通信経路の暗号化**:VPN
で社外アクセス時のセキュリティを強化
– **定期的な脆弱性診断**:Webサイト脆弱性診断サービス
で未知の脆弱性を発見
フォレンジック専門家が警告する「見落としがちな盲点」
攻撃の検知が困難な理由
SharePoint攻撃が特に厄介なのは、正常な管理操作と区別がつきにくい点です。攻撃者は以下の手法で痕跡を隠蔽します:
- 正規のAPIを悪用するため、ファイアウォールをすり抜ける
- 既存のユーザー権限を乗っ取り、不審なアクセスに見えない
- 少量ずつデータを持ち出し、異常なトラフィックを発生させない
中小企業が狙われる理由
「うちは小さな会社だから狙われない」という考えは大きな間違いです。実際、中小企業こそが以下の理由で標的になりやすいのです:
- セキュリティ投資の不足:大企業より対策が手薄
- 大企業への足がかり:サプライチェーン攻撃の踏み台
- 検知体制の甘さ:攻撃に気づくまでの期間が長い
攻撃を受けた場合の適切な対応手順
もし攻撃の兆候を発見した場合、以下の手順で対応してください:
初動対応(第1段階)
- 該当システムをネットワークから即座に切断
- セキュリティインシデント対応チームへの連絡
- 証拠保全のためのログ取得
- 関係者への緊急連絡
詳細調査(第2段階)
- フォレンジック調査による侵入経路の特定
- 窃取された可能性のあるデータの範囲確定
- 他システムへの横展開の有無確認
- 攻撃者の痕跡完全除去
再発防止(第3段階)
- 脆弱性の完全修正
- セキュリティ対策の強化
- 従業員への再教育
- 継続的な監視体制の構築
2025年のサイバー脅威動向と対策の方向性
今回のSharePoint攻撃は、2025年のサイバー攻撃トレンドを象徴する事件です。以下の特徴が顕著になっています:
攻撃の高度化
- ゼロデイ脆弱性の積極的な悪用
- 複数の脆弱性を組み合わせた攻撃チェーン
- 痕跡隠蔽技術の向上
標的の多様化
- 政府機関から中小企業まで無差別攻撃
- サプライチェーン全体を狙った戦略的攻撃
- 業界を問わない知的財産窃取
必要な対策レベル
従来の「入口対策」だけでは不十分です。以下の包括的アプローチが必要:
- 予防:アンチウイルスソフト
による事前防御 - 検知:異常通信の早期発見
- 対応:インシデント発生時の迅速な封じ込め
- 復旧:事業継続性の確保
まとめ:今こそ行動を起こすべき時
今回のSharePoint攻撃事件は、どんな組織も攻撃対象になり得ることを示しています。核施設という最高レベルのセキュリティが求められる施設でさえ侵害されたのです。
私がフォレンジック調査で目にしてきた被害企業の共通点は、「明日やろう」「来月予算を検討しよう」と対策を先延ばしにしていたことです。
サイバー攻撃は待ってくれません。今すぐできることから始めてください:
1. SharePointのパッチ適用状況確認
2. アクセスログの点検
3. アンチウイルスソフト
の導入検討
4. リモートアクセス時のVPN
活用
5. Webサイト脆弱性診断サービス
による定期的な脆弱性チェック
被害を受けてからでは遅いのです。今日から、あなたの会社を守る行動を始めましょう。
一次情報または関連リンク
米国国家核安全保障機関、中国の攻撃グループによるMicrosoft SharePointのゼロデイ脆弱性を悪用したサイバー攻撃の被害を受ける
