マイクロソフトは7月のセキュリティ更新プログラムで、エンタープライズ向けサーバー、SharePoint Serverの顧客を標的とした攻撃が活発化しているとして同製品の顧客を保護するためのセキュリティ更新プログラムをリリースしました。顧客に対して更新プログラムを適用するように求めています。
中国の複数の脅威アクターが脆弱性を悪用
SharePoint Serverは情報やファイルを共有しチームで共同作業を行うソフトウェアツールとして開発された製品で一般的にオンプレミス環境で運用されています。クラウドベースのSharePoint Onlineは今回の更新プログラムの対象ではありません。
マイクロソフトによるとインターネットに接続されたSharePoint Serverを標的としたLinen TyhoonとViolet Tyhoonの攻撃を確認しているということです。これら攻撃は既知の脆弱性CVE-2025-49704と新たに公開された脆弱性CVE-2025-53770を悪用しているということです。更新プログラムはこれら脆弱性に対処したことに加え、既知の脆弱性CVE-2025-49706のセキュリティバイパスの脆弱性CVE-2025-53771にも対処しているということです。マイクロソフトによると、Linen Tyhoon、Violet TyhoonのほかにStorm-2603として追跡している攻撃者もこれらの脆弱性を悪用していることを確認しているということです。
Linen Tyhoonは2012年以降、知的財産の窃取に注力している脅威で主に政府や防衛、人権関連の組織を標的にしているということです。ユーザーがウェブサイトを閲覧するだけで気が付かないうちにマルウェアをダウンロード、インストールさせてしまうドライブバイ攻撃を行うことで知られ、既存の脆弱性を悪用して攻撃をしているということです。また、Violet Tyhoonは2015年以降、サイバースパイ活動を行っている脅威で主にアメリカ、ヨーロッパ、東アジアの元政府関係者や軍関係者、非政府組織、シンクタンク、メディア、金融、医療関連セクターを標的にしているということです。マイクロソフトによるとLinen TyhoonとViolet Tyhoonはともに中国の国家レベルの攻撃者だということです。
また、Storm-2603はマイクロソフトが中国を拠点にしている脅威と中程度の確度で評価して追跡している脅威アクターで、今年7月18日以降、ランサムウェアを展開しており、過去にはWarlockやLockbitランサムウェアを展開していたということです。この脅威グループの目的についてマイクロソフトは評価できていないとしていて攻撃の目的がなんなのかいま1つ明確ではないようです。
アメリカの核安全保障局も攻撃とのメディア報道
マイクロソフトは、最新のセキュリティ更新プログラムを適用するとともにエンドポイント保護のための Microsoft Defender または同等の脅威ソリューションを展開することやアンチマルウェアスキャンインターフェース(AMSI)がオンになっていて、Defender Antivirusなどの適切なウイルス対策ソリューションで正しく設定されていることを確認することなどを求めています。
なお、米メディアのブルームバーグが関係者の証言として伝えた記事によると、米国家核安全保障局(NNSA)もSharePoint Serverへの攻撃を受けたということです。ブルームバーグによるとNNSAはアメリカの核兵器の製造や解体を統括しているほか、米海軍への潜水艦原子炉の提供や、放射能の緊急事態への対応など幅広い任務を担当している組織だということです。記事によると機密文書等の流出は確認されていないということです。米当局は2020年に中国人ハッカー2人を起訴していますが、この時の米司法省の発表によるとハッキングの端緒はマンハッタン計画でプルトニウムの精製が行われたハンフォード・サイトのコンピューターだったということですから中国のサイバー脅威はアメリカの核も標的にしている実態がありそうです。
■出典
https://www.bloomberg.co.jp/news/articles/2025-07-23/SZTSJHGPFHMS00