Microsoft(マイクロソフト)は2025年7月、国家支援型とされる中国のハッカーが同社のコラボレーション製品「SharePoint」の脆弱性を突き、米国の複数の官民組織に不正アクセスしたと発表しました。
ProPublica によると、Microsoftの内部作業追跡システムのスクリーンショットを通じて運用構造を特定し、中国を拠点とするエンジニアリング チームが数年にわたって SharePoint のメンテナンスとバグ修正を担当していたことを明らかにしました。
概要
この脆弱性はオンプレのSharePointで発生し、米国エネルギー省(NNSA 含む)や国土安全保障省も影響を受けたとされ、Microsoft の分析によるとこれらの脆弱性を中国政府との関係が指摘されている「Linen Typhoon」「Violet Typhoon」「Storm-2603」が悪用している事が指摘されています。
また、CISAは「ファイルシステムや内部設定への完全なアクセス、リモートでのコード実行」を許す深刻な欠陥だと警鐘を鳴らしています。
同時に、SharePoint(特にオンプレミス版)の保守に中国拠点のエンジニアチームが長年関わってきた事実が明らかになり、サプライチェーン上のリスク管理や政府案件における人材運用の妥当性が改めて問われています。マイクロソフトは当該業務の移管に着手済みと説明し、国防総省は「海外拠点エンジニア依存」への見直しに動いています。
攻撃に悪用されたのは、SharePoint Serverの未修正脆弱性です。特に以下の4つが確認されており、攻撃チェーン全体は「ToolShell」と呼ばれています。
-
CVE-2025-49706(スプーフィング脆弱性)
-
CVE-2025-49704(リモートコード実行)
-
CVE-2025-53770
-
CVE-2025-53771
攻撃者は、SharePointのToolPaneエンドポイントに細工したリクエストを送り込み、spinstall0.aspx というWebシェルをサーバにアップロード。そこから内部構成ファイルやMachineKeyの情報を抜き取り、永続的なバックドアを確保していたと見られます。
浮上した「運用体制」への疑問
ProPublicaの報道によれば、SharePoint On-Prem の不具合修正に中国在住のマイクロソフト技術者が関与してきた実態が社内記録から確認されています。
マイクロソフトは「米国内のエンジニアが監督し、セキュリティ要件やコードレビューを徹底している」としつつ、この業務を他地域へ移す作業を開始したと説明しています。中国法制は捜査当局の情報取得権限が広く、現地人材・企業は当局要請を事実上拒みにくいと指摘されます。米情報当局は中国を「政府・民間・重要インフラに対する最も活発で持続的なサイバー脅威」と位置づけており、政府案件を支えるソフトウェアの運用・保守に海外拠点を含む場合のガバナンスが問われています。
既存の「外部人材活用」スキームと課題
同社はこれまで国防総省クラウドで、米国内担当者(いわゆる「デジタル・エスコート」)が海外拠点の技術者作業を監督するスキームを採用してきました。しかし監督側が必ずしも高度な技術で優越しない場合、実効的な牽制と検証が難しいとの指摘があります。
報道を受け、マイクロソフトは国防総省向けでは中国拠点エンジニアのサポートを停止し、他省庁案件でも同様の見直しを検討中としています。
国防長官は省内の外部人材依存状況の点検を開始し、超党派の議員からも説明要求が出ています。
出典
Microsoft Used China-Based Engineers to Support Product Recently Hacked by China ProPublica








