SharePointのゼロデイ脆弱性を悪用したランサムウェア攻撃を観測：Cybersecurity Dive

研究者たちによると、特定されていないハッカーがMicrosoft SharePointのゼロデイ脆弱性を悪用してランサムウェア攻撃を実行していることが分かった。既に全世界で300件の侵害を確認しているという。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ事業を営むPalo Alto Networksの研究者たちは「最近公表された『Microsoft SharePoint』のゼロデイ脆弱（ぜいじゃく）性『ToolShell』に関連するランサムウェア攻撃について調査している」と述べた（注1）（注2）。

現時点で全世界で300件の侵害を確認済み

　ハッカーは2025年7月27日（現地時間、以下同）に身代金を要求する文書を残し、ランサムウェア「4L4MD4R」を使用してファイルを暗号化したと主張した。文書には復号を試みた場合、ファイルを削除するという警告が記載されていた。

　Palo Alto Networksの研究者たちによると、ハッカーはPowerShellのコマンドを使って「Windows Defender」のリアルタイム監視を無効化した。さらに、侵入者は証明書の検証も回避していたという。攻撃の詳細とは。

　Palo Alto Networksの脅威インテリジェンスチーム「Unit 42」で脅威インテリジェンス部門のシニアディレクターを務めるアンディ・ピアッツァ氏は次のように述べている。

　「攻撃が成功するとマルウェアはファイルを暗号化し、ランサムウェア『4L4MD4R』による攻撃である旨を示す身代金要求文書が表示される。文書は、ビットコインやその他の暗号通貨による支払いを求めている」

　現在、Palo Alto Networksは攻撃者の身元や、他の標的にもランサムウェアを使用したかどうかを調査している。

　サイバーセキュリティの取り組みを進める非営利団体のThe Shadowserver Foundationの研究者たちは、2025年7月31日に「インターネットに1万7000件のMicrosoft SharePointのインスタンスが公開されており、そのうち840件は、数週間にわたりハッカーに悪用されている重大な脆弱性『CVE-2025-53770』を依然として抱えている」と報告した（注3）（注4）。

　The Shadowserver Foundationは「脆弱なサーバのうち少なくとも20台にハッカーの存在を示すWebShellが含まれていた」と述べている。

　研究者たちは2025年7月、「世界で少なくとも300件の侵害が確認されており（注5）、そこには米国の主要な政府機関も含まれる」と述べた。

　The Shadowserver Foundationへの攻撃に関連した今回のランサムウェアの試みは、進行中の攻撃キャンペーンに新たな懸念を加えた。以前、Microsoftの研究者たちは、SharePointの脆弱性が中国政府の支援を受けたハッカーの関心を引いていると警告していたのだ。

　Palo Alto Networksの研究者たちによると、今回のランサムウェア攻撃は国家から支援を受けた活動とは無関係のようだ。Googleやその他の企業の研究者たちはMicrosoft SharePointの脆弱なインスタンスを好機として狙う攻撃について以前から警告していた。

（注1）Unit 42（X）
（注2）What we know about the Microsoft SharePoint attacks（Cybersecurity Dive）
（注3）The Shadowserver Foundation（X）
（注4）CVE-2025-53770 Detail（NIST）
（注5）SharePoint hacking campaign affects hundreds of systems worldwide（Cybersecurity Dive）