Microsoftは2025年7月、同社の企業向けサービス「SharePoint」のセルフホスト(オンプレミス)版において、深刻なゼロデイ脆弱性が発見され、中国の国家支援ハッカー集団によって実際に悪用されたと公式に発表しました。このセキュリティインシデントは既に数十の組織に影響を与えており、国家機関を含む幅広い分野が標的となっています。
⚠️ ゼロデイ脆弱性とは?CVE-2025-49704・49706の危険性
今回指摘されたのは、GoogleとMicrosoftのセキュリティ研究者が発見した2つの脆弱性です:
- CVE-2025-49704:リモートコード実行が可能になる危険な脆弱性
- CVE-2025-49706:なりすましを可能にする脆弱性
いずれもSharePointの**セルフホスト版(オンプレミス環境)**に存在し、悪用されると次のようなリスクが生じます:
- 秘密鍵の窃取
- サーバーへのマルウェア設置
- 機密ファイル・保存データへの不正アクセス
Microsoftはこの脆弱性がパッチリリース前に既に悪用されていたことを明かしており、これにより本件は「ゼロデイ攻撃(Zero-Day Exploit)」として分類されています。
🕵️♂️ 中国政府支援とされるハッカー集団「Typhoon系」とは?
Microsoftはこの攻撃を行った集団を以下のように特定しました:
- Linen Typhoon(リネン・タイフーン)
主に「知的財産の窃取」を目的として活動しているグループ - Violet Typhoon(バイオレット・タイフーン)
「個人情報の窃取」による諜報活動が主な目的とされる
両グループとも中国政府からの支援を受けている国家レベルの攻撃者であり、Microsoftの命名規則に従い、国別コード「Typhoon」が付与されています。
この命名方式は、国際的にハッカー集団の識別を明確にする目的でMicrosoftとCrowdStrikeによって整備されている命名統一プロジェクトの一環でもあります。
🏛️ すでに数十組織が被害、政府機関も標的に
Microsoftによると、すでに数十の組織がこのゼロデイ脆弱性を悪用した攻撃により侵害されていると発表されています。中には政府部門や防衛関連企業、重要インフラ系組織も含まれており、被害範囲は広範囲に及びます。
今回の攻撃はセルフホスト版SharePointを利用している組織が特にリスクにさらされており、セキュリティ研究者たちは「既に多くの企業が侵害されている可能性がある」と強く警告しています。
🛡️ Microsoftは即座に修正パッチを公開、今すぐの適用を推奨
事態を受けて、Microsoftはすべての影響を受けるバージョンのSharePoint向けに緊急パッチを配信。同社はユーザーに対し、以下の対応を呼びかけています:
- 最新のセキュリティアップデートを適用すること
- 過去のアクセスログや不審な通信を即時に監査すること
- 外部からのアクセスがあった場合は侵害の可能性を想定し、システムの再構築やフォレンジック調査を実施すること
SharePointはビジネス文書・社内ポータル・プロジェクト管理などに広く活用されているため、そのセキュリティリスクは極めて重大です。
🧭 中国大使館は「事実無根」と反論も、国家によるサイバー攻撃の懸念強まる
在米中国大使館の報道官Liu Pengyu氏は、今回の件に関し「中国はあらゆるサイバー攻撃や犯罪に断固として反対する」と述べ、関与を否定しました。
一方で、過去にも**「Bolt Typhoon」や「Silk Typhoon」などの国家支援型ハッカーグループ**が米国政府や重要インフラに対して攻撃を仕掛けたとされており、中国の関与が指摘されるケースは後を絶ちません。
今回のSharePointへのゼロデイ攻撃は、その中でも特に深刻な例として、サイバーセキュリティ界に警鐘を鳴らしています。
🔎 まとめ:オンプレミス運用企業は今すぐ対応を
今回のゼロデイ脆弱性は、パッチ提供前に実際の攻撃が行われた事実により、多くの企業・組織が既に影響を受けている可能性があります。
💡 企業が今できるセキュリティ対策:
- SharePointのすべてのインスタンスに最新のパッチを即時適用
- システム監査や脅威ハンティングの実施
- 外部からの接続ログの精査と不審な通信の特定
- セルフホスト型サービスを運用している場合はクラウド環境への移行も検討
世界中で企業のクラウド化が進む中、オンプレミス環境のセキュリティ対策はますます重要となっています。今回の一件は、セキュリティアップデートの即時対応と脅威インテリジェンスの重要性を改めて浮き彫りにする出来事でした。
