オンプレミス版の社内ポータルサイト構築ツール「SharePoint Server」の脆弱性を悪用したランサムウェア攻撃が拡大している。パッチを適用しただけでは防ぎ切れなかった、その実態とは。
オンプレミス版の社内ポータルサイト構築ツール「SharePoint Server」のセキュリティ対策で失敗する企業が後を絶たない。「パッチは適用したはずなのに、なぜ攻撃を受けたのか」「脆弱(ぜいじゃく)性への対策が不十分だった」――こうした声は、オンプレミスでシステムを運用する企業にとって見過ごせない問題だ。
2025年7月下旬のランサムウェア(身代金要求型マルウェア)攻撃をMicrosoftが分析したところ、初期のパッチ(修正プログラム)では解消し切れなかった脆弱性を狙う攻撃者の巧妙な手口が浮かび上がった。
Microsoftは2025年7月下旬、SharePoint Serverの「ToolShell」と呼ばれる、CVE-2025-53770およびCVE-2025-53771脆弱性チェーンを悪用した侵入があったと公表した。この侵入により、複数の組織がランサムウェア「Warlock」の被害に遭った。CVE-2025-53770は、RCE(Remote Code Execution:リモートコード実行)の欠陥CVE-2025-49704のパッチを迂回(うかい)して、リモートコード実行を再度可能にする。Warlockのランサムウェア攻撃は2025年6月に姿を現した比較的新しい脅威だ。
2025年7月22日の発表によれば、既知の中国国家支援型脅威アクター「Linen Typhoon」と「Violet Typhoon」が次の2件のバイパス脆弱性(本来は制限されている操作やアクセスを、想定外の方法で回避できる脆弱性)を悪用している。
Microsoftは、詳細未判明の脅威アクター「Storm-2603」の活動の一部も本攻撃に暫定的に関連付けた。Storm-2603が過去に「LockBit」などのランサムウェア組織と関係していた可能性を示唆した。
Warlockとの関連を確認したMicrosoftは、以下のガイダンスを随時更新している。
セキュリティ調査団体Shadowserver Foundationによると、2025年7月23日時点で約424件のSharePoint ServerがCVE-2025-53770とCVE-2025-53771に対して依然として脆弱になっている。
MDR(Managed Detection and Response)を手掛けるAcumen CyberのCTO(最高技術責任者)ケビン・ロバートソン氏は、次のように指摘する。「Microsoftは7月の月例アップデート『Patch Tuesday』でCVE-2025-49704とCVE-2025-49706に対する初回のパッチを提供したが、それが不十分だったため、組織が事実上無防備になった」
ロバートソン氏によれば、ランサムウェア集団はCVE-2025-53770を使って追加アクセスを得た後、機密データを暗号化し、高額の身代金を要求している。
公開スキャンで判明した424件の脆弱なインスタンスは氷山の一角に過ぎず、多くの組織がパッチ未適用のまま高リスクにさらされているとロバートソン氏は警告する。
今回の事例は、パッチの適用だけでは十分ではない場合があることを示している。企業は継続的な脅威監視と、迅速な追加対策の実施が求められる状況だ。特にオンプレミスでシステムを運用する組織にとって、この教訓は重要な意味を持つ。
翻訳・編集協力:雨輝ITラボ(リーフレイン)
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
