2025年7月23日、米国の国家核安全保障機関(NNSA)と国立衛生研究所(NIH)を含む複数の政府機関が、中国の支援を受けたとされる攻撃グループによるサイバー攻撃の被害を受けたことが判明しました。
攻撃の侵入経路となったのは、オンプレミス版のMicrosoft SharePoint Serverに存在していたゼロデイ脆弱性。一部のサーバが侵害され、情報漏えいの懸念が指摘されています。
攻撃の概要:ターゲットは「核」と「医療」
今回の被害で特に注目すべきは、攻撃を受けたのが米国の核兵器を管理・保守するNNSA(国家核安全保障機関)であったことです。NNSAは、核弾頭の保全・安全管理に加え、放射線事故の防止など極めてセンシティブな業務を担っています。
同時に、NIH(国立衛生研究所)でもSharePointサーバが攻撃を受け、一部のサーバに侵害の痕跡が確認されました。NIHは世界的な医学研究機関であり、保有データの重要性は言うまでもありません。
なお、現時点で、影響を受けたシステムはごく少数で機密情報や機密扱いの情報も盗まれていないとしています
攻撃に悪用されたのは、SharePoint Serverの未修正脆弱性です。特に以下の4つが確認されており、攻撃チェーン全体は「ToolShell」と呼ばれています。
-
CVE-2025-49706(スプーフィング脆弱性)
-
CVE-2025-49704(リモートコード実行)
-
CVE-2025-53770
-
CVE-2025-53771
攻撃者は、SharePointのToolPaneエンドポイントに細工したリクエストを送り込み、spinstall0.aspx というWebシェルをサーバにアップロード。そこから内部構成ファイルやMachineKeyの情報を抜き取り、永続的なバックドアを確保していたと見られます。
Microsoft の分析によるとこれらの脆弱性を中国政府との関係が指摘されている「Linen Typhoon」「Violet Typhoon」「Storm-2603」が悪用している事が指摘されています。
なお、中国政府はMicrosoft の分析について「中国は法に基づきハッキング行為に反対し、これと闘う。同時に、サイバーセキュリティ問題を口実とした中国への中傷や攻撃にも反対する」と報道官が声明を発表しました。








