Microsoft SharePointの新たな脆弱性が脅威アクターに悪用され、企業のネットワーク全体が危機に直面している。サイバーセキュリティ企業Rapid7は、特定の企業環境で発生した攻撃を詳細に調査し、攻撃者がSharePointサーバーを通じて侵入、Microsoft Exchangeサービスアカウントの管理者権限を悪用して2週間以上もネットワーク内を検知されずに潜伏していた事実を明らかにした。

この脆弱性（CVE-2024-38094）を介した攻撃には、中国製アンチウイルスソフトウェア「Horoung」を利用し、他のセキュリティ製品を無効化する手法が取られ、ネットワーク全体の防御力が低下したことが判明している。

また、攻撃者はImpacketやMimikatzといったオープンソースツールを用いてドメイン内を横断し、アクセス権限の拡大やデータ収集を行うと共に、最終的にシステムの認証設定や防御機能の無効化を試みたが、データの暗号化には至らなかった。今回の事例は、単なるランサムウェア攻撃とは異なる性質を持つ可能性が示唆され、企業におけるSharePoint利用の慎重な再評価が求められると考えられる。

SharePoint脆弱性を悪用した攻撃手法とそのリスクの拡大

今回の脆弱性により、攻撃者はMicrosoft SharePointサーバーに不正アクセスし、企業内のネットワーク全体を狙った攻撃を実行する手段を手に入れた。

この脆弱性「CVE-2024-38094」は、SharePointの一般に公開された環境を介して攻撃者が侵入し、Microsoft Exchangeサービスアカウントの管理者権限を獲得することを可能にしている。Rapid7の報告によると、攻撃者はこの権限を使い、社内ネットワーク内で自由に移動することができたため、ドメイン全体に対する高度なセキュリティリスクが生じている。

脅威アクターは、攻撃チェーンの中で中国製のHoroungアンチウイルスソフトをインストールし、他のセキュリティ製品を無効化する手段に出た。この競合は、攻撃者がより深く侵入するための隠れ蓑として機能しており、ネットワーク防御の弱体化に直結している。企業にとっては、こうした脆弱性が外部からの攻撃を一層困難にするセキュリティ体制の再構築が急務といえるだろう。

攻撃者の高度な潜伏手法と使われたツールの役割

Rapid7の調査によれば、攻撃者は潜伏期間中、ImpacketやMimikatzといったオープンソースツールを駆使し、社内ネットワーク内で横方向の移動を実現した。Impacketは、通常のセキュリティシステムをかいくぐるためのプロトコル操作を可能にし、Mimikatzは資格情報の収集に使用された。この結果、攻撃者は2週間にわたり検知されずに潜伏し続け、攻撃がより深刻なレベルに到達する危険性をはらんでいたとされる。

今回の攻撃では、Windows Defenderの無効化や独自の設定ファイル作成によって、さらに徹底した隠蔽が図られた。特に、「Fast Reverse Proxy（FRP）」と呼ばれるツールを利用してNAT構成のファイアウォールを突破する試みが行われたことも、脅威の高度化を象徴している。このように複雑なツール群を使い分けることで、攻撃者はセキュリティ体制を容易に無効化しており、標的型攻撃の戦術は今後も進化していくと予測される。

今後の防御対策と企業に求められる対応の方向性

今回の報告を受け、企業はSharePointやExchangeといった主要なITインフラにおける脆弱性管理を再評価する必要がある。Rapid7の調査から明らかになったように、攻撃者は高度なツールと手法を駆使しているため、従来のセキュリティ対策だけでは対応が難しい。特に、多層防御の観点から、新たな脅威インテリジェンスを活用し、エンドポイントセキュリティの強化が急務である。

今後、企業はパッチの迅速な適用やアクティブな監視体制の強化に加え、疑わしい活動をより速やかに発見・対応するためのスキルと体制を整備すべきである。また、従業員のセキュリティ教育を強化し、内部リスクを最小化することも重要である。

今回の事例は、企業がどのようにサイバー脅威に対応するかという点で、見直しを迫られる転換点といえよう。Rapid7が明らかにしたこれらの脅威の詳細は、今後のセキュリティ戦略を考える上での貴重な指針となる。