SharePoint Serverへの攻撃は中国ハッカー集団によるもの──Microsoftが説明
Microsoftは、オンプレミス版「SharePoint Server」へのゼロデイ攻撃が、中国国家関連の複数のハッカー集団によるものだと発表した。「Linen Typhoon」など複数のグループの関与を確認。同社はパッチを公開済みだが、未適用のシステムは危険性が高まっていると警告した。
米Microsoftは7月22日(現地時間)、19日に発表したオンプレミス版「SharePoint Server」へのゼロデイ攻撃は、中国国家と関係のある複数のハッカー集団に関連していると説明した。
Microsoftは公式ブログで、「本稿執筆時点で、インターネットに接続されたSharePoint Serverを標的として、中国国家を名乗る2つの攻撃グループ、Linen TyphoonとViolet Typhoonがこれらの脆弱性を悪用していることを確認している。さらに、Storm-2603として追跡されている中国を拠点とする別の攻撃グループによる悪用も確認済みだ。これらのエクスプロイトを悪用している他の攻撃グループについても、現在調査が進行中だ」としている。
Microsoftは既にこの攻撃の影響を受けるSharePoint Server向けのパッチをリリース済みだが、この脆弱性が広く知られるようになったため、パッチ未適用のシステムのリスクは高まっていると警告した。
この攻撃は、システムへの認証されていないアクセスを可能にする脆弱性を悪用するものだ。これにより攻撃者は、ファイルシステムや内部構成を含むSharePointのコンテンツにアクセスし、ネットワーク経由でコードを実行(RCE)できるようになる。
米サイバーセキュリティ企業Eye Securityによると、22日時点で少なくとも400台以上のシステムが侵害されていることが確認されているという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Microsoft SharePointのゼロデイ脆弱性、RCE攻撃で悪用 パッチ公開済み
Microsoftのオンプレミス版「SharePoint Server」に、リモートでコードが実行されるゼロデイ脆弱性(CVE-2025-53770)が発見され、攻撃に悪用されている。同社は警告を発し、すでに対策パッチを公開済み。セキュリティ企業は多数のサーバで被害を確認している。
MicrosoftとCrowdStrike、脅威アクター名称リンクで協力 Googleも参加へ
MicrosoftとCrowdStrikeが脅威アクター名称のリンク(エイリアス相関)で提携した。複数名称による混乱を防ぎ、脅威レポートの明確化と対応優先度決定を支援する。80以上の脅威アクター名をマッピング済みで、GoogleのMandiantなども協力していく。
Microsoftのブラッド・スミス氏、中国による連邦政府へのサイバー攻撃について責任を認める
Microsoftの副会長兼プレジデントのブラッド・スミス氏は、米連邦議会の公聴会で、昨年7月に政府高官のExchangeのメールが中国のサイバー攻撃で侵入された件について、責任を認めた。「Recall」(回顧)機能をオプトインに変更したことについても言及した。
中国ハッカー集団、米重要インフラにステルス攻撃で侵入──Microsoft報告
Microsoftは、中国を拠点とするサイバースパイ集団による米国の重要インフラ攻撃について報告した。「Volt Tyfoon」と名付けた集団は2021年半ばから政府や情報技術企業のネットワークに侵入し、情報を抽出していた。Microsoftはターゲット組織に対策情報を提供した。