核兵器工場にハッカーが侵入、SharePointの脆弱性を利用

Microsoftのアプリ「SharePoint」の脆弱(ぜいじゃく)性が悪用され、アメリカの国家核安全保障局(NNSA)傘下のカンザスシティ国家安全保障キャンパス(KCNSC)が外部からのデータ侵害を受けたことが明らかになりました。

Foreign hackers breached a US nuclear weapons plant via SharePoint flaws | CSO Online
https://www.csoonline.com/article/4074962/foreign-hackers-breached-a-us-nuclear-weapons-plant-via-sharepoint-flaws.html

KCNSCは核兵器の設計・製造・保守を担う施設で、アメリカの核防衛システムに使用される非核の機械・電子・工学的材料部品を取り扱っています。

NNSAを管轄するエネルギー省の広報担当者によると、現地時間の2025年7月18日、SharePointの脆弱性が悪用されてKCNSCがデータ侵害を受けたとのこと。悪用された脆弱性はスプーフィング(なりすまし)の欠陥であるCVE-2025-53770とリモートコード実行の欠陥であるCVE-2025-49704で、Microsoftは攻撃翌日の7月19日に修正パッチを配布しています。

データ侵害は施設のIT部門を標的としていましたが、攻撃者が施設の運用技術システム、すなわち兵器部品生産を直接支える製造・プロセス制御環境へアクセスできた可能性も懸念されています。

セキュリティ系メディアのCSOが取材したサイバーセキュリティ専門家は、「KCNSCの生産システムは外部から隔絶されている可能性が高く、直接的なデータ侵害リスクは大幅に低減されていますが、こうした処置は必ずしも安全であるとは言えません」と述べました。

エネルギー省の広報担当者は「当省はMicrosoft M365クラウドを広く活用し、高度なサイバーセキュリティシステムを備えているため、影響は最小限に留まった。影響を受けたシステムはごく少数であり、全システムは復旧中である」と付け加えました。

今回悪用されたものを含むSharePointの脆弱性は他にもいくつか見つかっており、7月18日以降、世界中で数十台のサーバーがSharePointの脆弱性を悪用したサイバー攻撃の被害を受けていることが報告されています。Microsoftはこれらの攻撃を中国の脅威アクターによるものと指摘しています。

SharePointのゼロデイ脆弱性をLinen TyphoonとViolet Typhoonという2つの中国国家レベルのハッカー集団が悪用しているのをMicrosoftが確認 - GIGAZINE

しかし、今回のKCNSCの事例では、ロシアの脅威アクターが関与しているという話も出ているそうです。SharePointの悪用を監視していたサイバーセキュリティ企業Resecurityによると、中国系グループが最初のゼロデイ脆弱性を開発・展開し、金銭目的のロシア系アクターが独自にエクスプロイトを再現した可能性があるとのことです。