米国政府機関も被害!マイクロソフトSharePointに世界規模ハッキング、研究者が報告
引用元:https://news.ycombinator.com/item?id=44629710
記事に関連するリンクだよ。見てみてね!
https://archive.ph/Ym2jZ, https://web.archive.org/web/20250721135933/https://www.washi...https://research.eye.security/sharepoint-under-siege/https://krebsonsecurity.com/2025/07/microsoft-fix-targets-at...https://www.bleepingcomputer.com/news/microsoft/microsoft-re…
企業はもっとRed Hatを使うべきで、Microsoftは減らすべきだよ。DoDみたいな顧客で脆弱性だらけはありえない。Googleは安全なのに、政府機関のSharePointがすぐハッキングされるのはなぜ?もっと安全で安いLinuxベースの選択肢があるのに、なぜMicrosoftが独占してるの?セキュリティが最優先じゃないの?
企業のPCはほとんどWindowsだから、Microsoftのサービスと統合しやすいんだ。Windowsから移行するならMacしかないけど、Macは高いし、WindowsのActive DirectoryとかJAMFみたいな管理ツールがないからね。Linuxはハードウェアサポートが弱くて、エンタープライズソフトも対応してないし、ユーザーも慣れてないから難しいんだ。
この脆弱性がこんなに狙われるのは、DoDみたいな大手がMicrosoftを使ってるからじゃないかな?もしDoDがRed Hat使ってたら、もっと大規模なLinuxやFreedesktopの脆弱性が見つかるんじゃないかって思うよ。
これはまさに「大物狙い」だよね。Windowsは昔、XPの時代まではセキュリティが甘かったけど、今は単にデスクトップやサーバー市場で圧倒的なシェアがあるから、ハッカーにとっては手っ取り早い標的なんだ。企業や政府機関で今も普及してるから、ハッカーは効率よく成果を出せるんだよ。
でも、ほとんどのインターネットサーバーはLinuxなのに、同じくらいの数の問題は見てないよね。
Microsoft製品は嫌いだけど、あなたの言うことはちょっと違うかな。SharePointはWindowsじゃなくて、Windows Serverでしか動かないMicrosoft製品なんだ。Linux上のサービスの範囲を広げれば、同じくらいの問題が出てくるかもしれないよ。例えば、人気CMSのCVEの多さを見てごらん。
うん、わかるよ。Red HatみたいにE2Eで製品群をパッケージングしてるものと比較するのがもっと適切だよね。Linux自体も、厳密にはGNU + Linuxだし、その上にウェブサーバーやソフトが動いてるわけだからね。じゃあ、Wikipediaと比較するのはどうかな?あれが世界最大のCMSだろ?
「セキュリティが最優先」だって?いやいや、優先なのは適切な人たちの間で金が動くことだよ。
これは民間企業でも同じことが言えるね。
WikipediaもRedhatもMicrosoftのエコシステムほど大きな標的じゃないよ。全然比較にならないね。
NginxとLinuxはほとんどのウェブサイトを動かしてるし、十分大きなターゲットじゃない?ウェブサイト抜きにしてもLinuxはMicrosoftよりずっと巨大な標的なのに、こんな問題は起きてない。おかしいと思わない?
「Linux PCのハードウェアサポートは貧弱」って意見に反論するよ。最近はかなり良いし、「エンタープライズ」ソフトウェアって曖昧だよね。認証やセキュリティだとLinuxの居場所はあるし、Redhatの話はデスクトップじゃなくサーバーやセキュリティの話だよ。
NginxはMicrosoftのバックオフィススイートみたいに攻撃対象が広くないよ。FOSSの世界ではNginx+CMS+オンラインオフィス+ビデオ会議+IDプロバイダーみたいな直接比較できるものがないから、Linuxと比べられない。代替品も範囲が狭いか独自製品だね。これはMicrosoft製品が安全って意味じゃなく、FOSSと公正に比較できないってことだ。
近所で壊される車が全部同じメーカー製なら、なんでそうなのか問うべきだし、新しい車を買う時にその事実を考慮するのは自分にとっても得策だよね。
Ubuntuを適当なノートPCにクリーンインストールすると、Bluetooth、バッテリー、マイク、GPU、タッチパッドとか、まだ問題がたくさんあるよ。
もうlog4jのこと忘れたの?
log4jは10年に一度のイベントだけど、Microsoftの脆弱なソフトウェアは毎月みたいものだよ。
企業でMacを使うのは馬鹿げた動きだね。AppleはMDMのやり方を常に変えてくるし、先週は「これに従え!」と言っておいて、翌週には「そんな古いやり方はダメだ」と意見を変えてくる。今まで注ぎ込んだ作業やツールが全部無駄になるってことだ。
大手企業は変なPC買わないんだよな。FrameworkとかSystem76みたいなLinuxに強いとこから買えば、そういう問題は起きないよ。別の問題はあるかもしんないけどね。
マイクロソフトは政府のいろんな規制をクリアできるんだろうな。Linuxでそんなことしてるやつ、誰も知らないけど。
「なんでMS製品がサーバーで独占してんだ?Linuxの方が安くて安全なのに」って言うけど、Office 365レベルで統合されたFOSSソリューションがないからだよ。ThunderbirdとLibreOfficeとか、Owncloudとか、ソフトフォンとか、全く連携してないし、SharePointやMS AccessみたいなのはFOSSに存在しないんだよ。
盗まれるのがフォード車ばっかりなのに「歩けばいいじゃん」って言うようなもんだよな。みんな車使ってないと思ってるし、ステータスシンボルだとでも?Red Hat Linuxを車の代替にって、車の役割も理解してない。フォードだけが車作ってるわけじゃないのに、代替は別物で、コンサル雇ってカスタマイズ、社員の再教育も必要で、コストもかかるのに、セキュリティ向上も証明できないとか、意味不明だろ。
「Linuxの方が安全で安いし普及してるって?」SharePointの話してんだぞ。SharePoint Serverみたいに、バージョン管理とか共同編集、ワークフローとかカスタマイズ、OneDrive、コンプライアンス、検索とか、オフィススイートが連携できるソフトなんて知らないな。Windows環境でもさ。もっと安全で安くて、普及してる代替案、言ってみろよ。
戦略が失敗したら、普通は増税して失った収入を補填できないから、業績不振と損失にはもっと直接的な関係があるんだ。
「MS製品がサーバーで独占?」いや、政府にも非Windowsサーバーは多いよ。SharePointはデスクトップ経由で広まったんだ。最初はひどい品質で開発者には悪夢。中身は継ぎ接ぎだらけで、不安定だった。結局「クラウドのOffice 365共有フォルダ」になった感じだ。
「セキュリティが最優先?」そんなことない。他のIT環境と同じで、重要だけど売上を左右するのは機能とコスト、専門知識だよ。セキュリティは約束や認証でカバーされ、運用任せになってるのが実情だね。
2006年以降、ほとんどのスタートアップがMacを使ってるし、大手テック企業もそうだって事実と、この記事の内容がどうも合わないんだよな。
連邦政府のITにはRed Hatがいっぱいあるけど、そこが問題じゃないんだ。Microsoftがクライアント向けソフトで圧倒的で、Red Hatはそこじゃ全然だめ。NASAとかでRHELデスクトップを見ることはあるけど、他じゃほぼないね。SharePointやOfficeのオープンソース代替もないし。MozillaがThundermailを出すらしいけど、機能再現にはめっちゃ時間かかりそう。EUがオープンソースソリューションに資金出すのが一番いいかもな。
[0] https://www.techradar.com/pro/mozilla-launching-thundermail-…
素性の知れない解決策には用心しろよな。完全に安全になるには全部シャットダウンするしかないけど、ビジネス側は許さないだろ?だからビジネスニーズとリスクのバランスが大事になる。でも、プラットフォームごとのセキュリティ問題では数字が重要だ。もしWindows関連のインシデントが止まらないのに数字を無視してたら、永遠に同じ問題に悩まされることになるぞ。
こんな中途半端な比較、意味がわからん。国は破産しないし、また別の国を見つけただけだろ。国がしくじったら修正するしかない。僕の生まれたGDRがWest Germanyの問題になったみたいにね。大企業や銀行が潰れても同じだ。強い政府がなきゃ、昔のUSみたいに企業が政府になる。どこかの階層では全知全能じゃないって受け入れて、失敗の結果からは逃げられないってことだ。
もっとコメントを表示(1)
政府の大規模侵害は繰り返されるけど、技術は変わらないよな。SharePointは無料バンドルで導入され、MSエコシステムからの脱却は大変だ。大企業にとってセキュリティは最優先じゃない。コストやベンダーの責任転嫁が重要なんだ。Linuxが安全って言うけど、主流になったら最大の標的になる。企業はセキュリティより慣れや”安全な”選択を重視する。Microsoftを選べば業界問題。変革への抵抗は強く、世論や規制がない限り、現状維持が続くと思う。
ほとんどの点には同意するけど、セキュリティは決して最優先事項じゃない。もしそうなら、みんなPCを破壊し、何も記録せず、社会崩壊を受け入れることになるだろ。セキュリティは常に、認証ユーザーのデータアクセスや使いやすさなど、他の多くの優先事項と秤にかけられるものなんだ。各文書に128文字の固有パスワードなんて、機密システムでも許容されないだろう?
セキュリティは機密性だけじゃないぞ。可用性もCIA triadの一部だ。
これが問題の核心だ。CIA triad(機密性、完全性、可用性)はセキュリティの根幹だけど、これらの目標は矛盾することが多い。例えば、可用性と機密性は常に衝突する。最終的な機密性にはアクセス不可能なバンカーが必要だし、最終的な可用性には誰でもアクセスできるサーバーが必要だ。現実では常にこれらをバランスさせる必要があり、だからセキュリティは決して解決済みの問題にはならないんだ。
CIA triadはスパイ機関が作ったから、本当に包括的なセキュリティ哲学か疑問だよな。スパイ対象を混乱させる意図かも。この哲学の検証研究はあるのか?僕は数十年セキュリティに携わったけど、CIA triadの正当化を見たことがない。APTは”範囲外”と言われたのに今ではどこにでもある。CIA triadも間違った遺産かもな。外交や教育とかが攻撃意欲を減らすけど、これらはCIA triadにどう関係するんだ?
モデルは不完全だから、完全性より役立つか問うべきだ。僕はCIA triadはこのシナリオで役立つと思う。別のモデルを使っても、セキュリティでは矛盾する要件が見つかり、多くのトレードオフに直面する。これはセキュリティが”完璧”にはなりえないことを証明してる。プライバシーと否認防止はCIA triadに直接当てはまらないが、これらは互いに相反する。完璧なプライバシーと否認防止は両立しないから、常にどこかが完璧ではなくなる。
いや、それはセキュリティの進歩を阻む敗北主義と同じだ。本当のセキュリティが優先される、使えるシステムを設計できるはずだ。そうしないのは、何も変えられる立場にいる誰もが、実際には気にしていないからだ。
セキュリティが優先されるシステムは設計できる。でも、セキュリティが”唯一の”優先事項であるような、使えるシステムは設計できないよ。
実際のシステムに単一の最優先事項があるなんて誤解だよ。優先事項は常に複数あって、どれが一番になるかは状況で変わるんだよ。
>セキュリティを優先したシステムを作れるって言うけど、セキュリティは確かに優先事項だよ。でもそれだけじゃない。デプロイしないシステムにセキュリティなんて意味ないし、ユーザーも開発者もセキュリティだけに集中することはないだろうね。
今じゃMSみたいな会社にとって、セキュリティなんて優先事項じゃないと思うよ。彼らの優先は、セキュリティがあるってマーケティングすることと、訴訟を避けるための最低限のことだね。顧客データが漏洩しても、MSは稼ぎ続ける。顧客の企業は保険があるし、MS製品を使っても誰も責任を取らない。MSのセキュリティ問題はただのビジネスコスト。他に移るよりMSを使い続ける方が安くて楽だから、何も変わらないんだ。
”ごめん、このメールの暗号化にそのパスワードは使えないよ。それはNUCLEAR_CODES_2(final)(2).docxで使われてるからね。別のパスワードを試して。”
>Linuxがもっと安全だって言うけど、もしどこもかしこもLinuxやRed Hatになったら、すぐに狙われるだろうね。でも、WindowsとLinuxの違いはそれだけじゃない。Linuxには多様なディストロがあって、モノカルチャーじゃないんだ。もしLinuxがもっと使われたらBSDも増えるだろうし。Linuxはサーバー、Chromebook、組み込み機器で広く使われてるし、カーネルとかはスマホでも使われてるよ。
Androidを見てごらん。今じゃWindowsより穴だらけのザルだよ。
Androidは最初から、個人データをGoogleとそのパートナーにできるだけ多く流すための”穴だらけのザル”として設計されたんだ。彼らは、自分たちがデータを集めるのを邪魔せず、第三者がデータにアクセスするのを難しくするという、無理な課題を抱えているんだよ。
>SharePoint(と他の多くのMS製品)が”タダ”でバンドルされたから勝ったって言うけど、SharePoint ServerやSharePoint Standard + Enterprise User CALsがいつ”タダ”だったんだ?
>大企業にとってセキュリティはサービスみたいだね。コードのセキュリティはMicrosoftだけど、インフラのセキュリティはSharePoint Serverを導入する組織にあるんだよ。これはSharePoint Serverの話であって、M365やSPOのことじゃないからね。
>SharePoint ServerやSharePoint Standard + Enterprise User CALsがいつ”タダ”だったんだって?
ああ、みんな”バンドルされてタダ”って言う時、本当はMSのエンタープライズパッケージを指してるんだよね。ComcastがTVを100ドル、固定電話を20ドル、ネットを100ドルで売るけど、TVと固定電話のパッケージは90ドル、TVとネットは130ドル、そこに電話を”無料バンドル”で5ドル追加とか。サポートが”月10ドル追加で1Gbpsに無料アップグレード”って言ってたけど、それって無料じゃないだろ?彼らは”同じパッケージで10ドル高いだけ。1Gbpsに無料アップグレードがついてくる。どこがおかしい?”って言うんだ。
EAライセンスって普通そうじゃないんだよ。個別のSKU(Windows client, Windows Server, SQL Standardなど)を選ぶのは同じで、割引や評価ライセンス、サポートが少しついて、調整時に払う(昔は3年だったけど今は違うかもね)。”SQL Server Enterpriseを買ったらSharePoint Server Enterprise SKUが無料”みたいなライセンスは、俺の知る限りなかったよ。
SQL ServerとSharePointが無料で付いてくるようなライセンス契約はなかったと思うけど、そう言いたかったわけじゃないんだ。割引やクレジットは普通にもらえたしね。EA契約は企業ごとにカスタムされてて、Azureクレジットをくれたり、他の製品とまとめると割引があったりするのが一般的だったみたい。
そう、その通り。特に最近のAzure時代ではクレジットはよくあるけど、それもワークロードを移行させたり作ったりするのが条件だったりするんだ。結局Microsoftは長期的にその分を回収するってことだよね。
問題はWindowsかLinuxかじゃなくて、アプリケーションの脆弱性なんだよ。たまたまそれがWindowsで動くSharePointだったってだけ。SharePoint Serverは広く使われてるから狙われやすいターゲットなんだよね。Atlassianのサーバー製品だって、これまでゼロデイ攻撃をたくさん受けてきたし、結局クラウド移行を強制したしね。
Windowsがどこにでもあるから注目されるって意見には、俺は反対だな。だって、サーバー市場ではLinuxが圧倒的に優勢なんだから。
うん…でも、それは主に外部サービスの話でしょ。一方、Windowsは社内で、SharePointやActive Directoryみたいに、会社の中核となる重要なシステムを動かしてるんだよ。
ここで理解すべきは、SharePointはWindows自体じゃなくて、脆弱性はアプリにあったってこと。Linux上で動くアプリに脆弱性がないなんて言えるのか?特にこういう巨大なエンタープライズ製品ならね。OracleやSAPのアプリでも同じことは起きるだろうけど、それを会社の公開ウェブサイトに使ってる例なんてないでしょ?
Microsoftのこれまでのセキュリティの歴史を考えれば、もしMicrosoft(やAzure)を選んでハッキングされたとしたら、それは完全に自己責任だってことだね。
CISAが影響製品をインターネットから切断しろって言ってるね。オンプレでSharePointをわざわざホストする手間をかけておいて、なんでそれをインターネットに公開しておくのか不思議だよ。こういう組織は、VPNを使わせる組織の中に収まるべきだと思ってたんだけどな。
ネットワークは常に侵害されてると仮定するのがベストプラクティスだよ。VPNはそこまで保証してくれないし、デバイスは紛失したりもする。だから、ゼロトラストを使ってインターネットに公開されてても気にしないんだ。どこからでも仕事できるのは大きなメリットだし、組織はデータを完全に制御しつつ、どこからでもアクセスできるようにしたいんだよ。
もしかしたら俺が何か見落としてるのかもしれないけど、この話ってまさに君の主張を否定してるんじゃない?VPNがあれば、公開されてるゼロデイRCEに比べて、この脆弱性の攻撃対象はすごく小さかったはずだよ。それに、壁の向こうに全アクセスを許可する必要もないしね。多層防御だよ!
ゼロトラストで「インターネットに公開されてる」って言うのは、従来のセキュリティでの用語の使い方とはちょっと違うね。
もっと正確には「インターネットからセッションは作れるけど、身元と権限の確認後だけ」って感じかな。
この視点で見ると、「ゼロトラスト」は「VPN」より安全で、「丸裸」よりはるかにマシだよ。
ああCISA…残念ながら有能な人たちが追い出されて、政治的服従のためだけの組織になっちゃったね。
アリゾナがイランのハッカーに襲われたときも、CISAに助けを求めようともしなかったんだって。 https://archive.is/2025.07.19-143305/https://www.azcentral.c…
CISAはこういう広範囲な攻撃やSalt Typhoonみたいな攻撃を調査するのにすごく重要なんだけどね。政治的ドグマを何よりも重視する奴らが仕切ってるからダメなんだ。 https://www.techdirt.com/tag/cisa/
もっとコメントを表示(2)
ゼロトラストって、なんか昔の基本的なユーザー名とパスワードみたいに聞こえるね。
Microsoftの「ゼロトラスト」は、パブリックインターネットからアクセス可能かどうかを気にしないんだ。「IDが新しい境界だ」って何年も言ってるけど、それじゃダメだよ。
NISTのZero Trust Architecture (ZTA) の実装ガイドは、そのデタラメやAIが作ったマーケティングの煙幕を打ち破るよ。
ZTAでは、すべてのネットワークが信用できない。ポリシーエンジンが要求に応じてABACを使って、各リソースへのトンネルを動的に作成・破棄するんだ。
Microsoftには完全なZTAができる製品がないから、「ゼロトラスト」の宣伝資料にはいくつかの柱が欠けてるんだよ。
[1] https://www.microsoft.com/insidetrack/blog/securing-the-bord…
[2] https://doi.org/10.6028/NIST.SP.1800-35
マシン証明書(TPMに保存)を考えてみて。あとは境界で強制されるユーザー名/パスワード/2FA。それから、マシンがセキュリティパッチで最新かどうかの追加ポリシーチェックもね。
どのネットワークから接続してるかは関係ないけど、会社支給の信頼できる状態のラップトップから接続してることは重要だよ。
じゃあ、これはVPNのよりシームレスで細かいアナログみたいなもの?
ネットワークの前にデバイスがあって、ターゲットのエンドポイントにパケットを通す前に、何らかの認証されたハンドシェイク(理想的には全部SSO)が必要ってこと?
>「Zero Trust」の宣伝文句には大事な要素が足りないって意見だけど、正直、Microsoftのセキュリティ対策全体にいくつか柱が欠けてるんだよな。
確かにVPNでもできるんだけど、大きな違いは、VPNは一旦入るとネットワーク全体に直結しちゃうこと。Zero Trustはアプリごとにアクセス権が付与されるから、デフォルト拒否で攻撃者が横移動しにくくなるんだよ。
>「ネットワーク接続はポリシーエンジンがABACで動的にリソースへのトンネルを作ったり壊したりする」って、これ技術的にどういう意味?どんなトンネルで、何のために使われるの?
Zero Trustは、すべてのサービスとのセッションが個別のVPNみたいに、独立して認証・暗号化されること。HTTPSでブラウザがドメインにアクセスするたびに新しくセッションが作られ、ページ読み込み後に終わるのを想像してみなよ。
深刻な脆弱性があっても、目立った罰金も市場シェアの損失も出てないのに、なんでわざわざ頑張る必要があるの?彼らの普及度がこんなに手出し不能になってるのは馬鹿げてるよ。
Microsoftはソフトウェア業界のBoeingみたいなもんだよ。船(市場)が沈まない限り、彼らも沈まない。これは、彼らが実力で市場競争するのにリソースを割かなくて済む共生関係なんだよね。
でもさ、VPNとSSO、限定的な権限を組み合わせることもできるじゃん。最近のネットワークはみんなそうだよ。VPNにログインしても大して何もできないし、特定のアプリや権限を付与される必要があるんだよ。
NISTのマイクロセグメンテーションには4つの種類があるよ: デバイスエージェント/ゲートウェイ、エンクレーブ、リソースポータル、アプリケーションサンドボックスだってさ。ポリシー評価ポイント(PEP)がハンドシェイクの前後で双方のセキュリティ状態を評価して、アクターとリソースの間に論理的または物理的なパスを作るんだ。これはソフトウェア定義の仮想ネットワークやステートフルファイアウォールで、OSIの1つ以上の層でできるんだって。
そうそう、それがゼロトラストの要だよ。全部のTCP接続に1つのトンネルじゃなくて、TCP接続ごとにトンネルを作るVPNみたいなもんさ。もう一つの大事なポイントは、全ての接続がブローカーを介してアウトバウンドに確立されるってこと。これは両側からそうなんだ。トンネルの終端にあるアプライアンスが、ブローカーへの逆トンネルを確立するから、”インターネットに晒される”ことはないんだね。ブローカーはSIEMなんかにログをプッシュできるから、SOCのログ担当者が国際スポーツを見た後でNordVPNをうっかりつけっぱなしにしてた従業員を怒鳴りつけたりできるわけ。実際にはメリットもあるよ。例えば、システムAにはどこからでもログインを許可するけど、システムBには自国からだけ、とかね。JITネットワークアクセスリクエストもできるし…。でも、だいたいベンダーが金をかけさせるためのマーケティングだよ。
ゼロトラストって、まるで普通のHTTPS認証に余計なマーケティングを付け加えただけみたいだね…。
Arainachが提唱してる“ゼロトラスト”ってやつは、ユーザーから見ると、まさにVPNに近いものだよ。会社が支給PCにプリインストールするソフトウェアで、仕事用のSSO認証でログインさせて、いくつかのエンドポイントセキュリティチェックを実行してから、仮想ネットワークアダプタ経由でトラフィックをルーティングするんだ。これで在宅勤務中でも職場のリソースにアクセスできるわけ。大きな違いは、部分的に認証された状態を追加する点だね。正しいデバイス、ユーザー名、パスワード、2FAはクリアしたけど、スマホを充電するためにラップトップに繋いだからデバイスの姿勢チェックに失敗した? そんな時でも、ゼロトラストシステムは一部のシステムへのアクセスをブロックしつつ、他のシステムへはアクセスを維持させることができるんだ。もう一つの大きな違いは価格さ。高額な初期費用を払う代わりに、従業員一人あたり月額25ドルを永遠に払い続けることになるんだよ。
大まかに言えば、そうだね。色々な技術パターンで実装できるけど、共通してるのは“トンネルが確立されたら何でもあり”じゃなくて、“各リクエストが認証され、暗号化される”って特性だよ。
あの製品は、公開Webサイトを動かすのに便利だって明確に宣伝されてたんだよ。クラウドが普及する前は、Microsoftの営業マンがオフィスに来て、最新のSharePointリリースでWordpressの時代は終わったって発表してたんだ。その見解はもう古いかもしれないけど、たくさんの組織はまだ過去に生きてるんだよね。
(TCPだけじゃないよ)
SharePointはサードパーティとデータを共有するのにすごくいい方法だよ。中には、君が知ってる人もいるかもしれないけどね。
