Microsoftによると、Microsoft SharePointを標的とした最近の攻撃は激化しており、脅威アクターは脆弱なシステムにランサムウェアを展開しているという。この悪意のある活動の急増は、7月に複数のSharePointセキュリティパッチがリリースされた後に発生した。
Microsoft のブログに公開された更新の一部には、次のように書かれています。「Storm-2603 による悪用活動の継続的な監視から得られた分析と脅威インテリジェンスが拡張され、Warlock ランサムウェアの展開につながりました。」
攻撃の詳細
マイクロソフトによると、中国と関係があるとみられる少なくとも3つの脅威グループが、Microsoft SharePointの既知の脆弱性を悪用している。これらの脆弱性には、Linen Typhoon、Violet Typhoon、Storm-2603などが含まれる。
攻撃者は、オンプレミスのSharePointサーバーにおける複数の脆弱性(リモートコード実行(RCE)、資格情報のなりすまし、不適切な認証など)を悪用し、不正アクセスを取得しました。侵入に成功すると、内部ファイルシステムや、監視、なりすまし、恐喝に利用可能な機密性の高いデータに侵入することができました。
マイクロソフトは、影響を受ける脆弱性(CVE-2025-49704、CVE-2025-49706、CVE-2025-53770、CVE-2025-53771)に対処するためのパッチを、7月上旬と中旬の2回に分けてリリースしました。しかし、これらの取り組みにもかかわらず、同社は、Storm-2603を含むランサムウェアがパッチ未適用のシステムに侵入していると警告しました。
ストーム2603とは誰ですか?
リネンタイフーンとバイオレットタイフーンは既に中国を拠点としていることが知られているが、マイクロソフトはストーム2603が中国から発生したという「中程度の確信」を持っていると述べた。
所在地に関わらず、Storm-2603はランサムウェア攻撃で知られています。過去にはLockBitとWarlockランサムウェアを使用しており、WarlockはSharePointに対する最近の攻撃でも使用されました。
Warlock ランサムウェアとは何ですか?
Watchguardのランサムウェアトラッカーによると、Warlockは暗号化ランサムウェアに分類され、2025年6月に初めて検出されました。本稿執筆時点では、米国、カナダ、ドイツ、中国、その他数カ国で約20人の被害者が確認されています。
Microsoft Threat Intelligence は、SharePoint 管理者が監視すべき複数の侵害指標 (IOC) を特定しました。これには、既知の IP アドレス 65.38.121.198、バックドアとして機能する IIS_Server_dll.dll というファイル、そして Storm-2603 がサーバー上でリモートコマンドを実行するために使用する一連の Web シェルが含まれます。
ストーム2603とウォーロックからシステムを守る方法
Storm-2603 とそのランサムウェア攻撃のステルス性を考慮して、Microsoft は、最新のセキュリティ パッチをインストールし、強力なパスワードを使用し、セキュリティ構成を定期的にテストし、SharePoint サーバーで既知の IOC を継続的に監視することを推奨しています。
同社では、脆弱性管理、外部攻撃サーフェス管理 (EASM)、Microsoft Defender XDR サブスクリプションのアクティブなサブスクリプションなど、Microsoft Defender 内のツールの使用も推奨しています。
SharePointはハッカーとの戦いを続ける
複数の脆弱性が明らかになり、パッチが急速に展開され、ランサムウェアの活動が活発化した7月は、SharePointユーザーと防御担当者にとって極めて重要な月となりました。Microsoftはセキュリティ修正プログラムの提供を継続していますが、新たな攻撃ベクトルの出現は、攻撃者が脆弱性を探し続ける可能性を示唆しています。
AIは単なる流行語ではなく、悪用されれば武器となります。攻撃者がどのようにAIを利用し、防御側が先手を打つ方法を学びましょう。
