マイクロソフトはSharePointのセキュリティ問題を抑制しているが、オンプレミスソフトウェアについては疑問が残る
クリストファー・バッド著
編集者注: これは、以前 Microsoft Security Response Center (MSRC) に 10 年間在籍していた Christopher Budd 氏によるゲスト分析です。
緊急セキュリティチームは、夏の週末は仕事に最適であることを知っています。
先週末、MicrosoftのSharePointの脆弱性(CVE-2025-53770)は、業界の常識を改めて認識させるものでした。これは、オンプレミスのSharePointサーバーにのみ影響を及ぼす、典型的な「リモートコード実行」の脆弱性です。攻撃者は認証なしでシステムを完全に制御できる可能性があります。インターネット経由でシステムにアクセスできれば、攻撃してシステムを乗っ取ることができます。
世界中の攻撃者が、脆弱なネットワークに足掛かりを築くためにこの脆弱性を迅速に利用しているのを目の当たりにしました。2012年と2022年にMicrosoft Exchangeで発生したProxyShell攻撃とProxyNotShell攻撃のように、Webシェルが頻繁に利用されていました。これらの攻撃は、新たな脆弱性が攻撃対象となり、当初はパッチが提供されていなかったという、典型的な「ゼロデイ」攻撃でした。
今回、マイクロソフトは発生から1日以内に情報を広く公開し、2日以内にパッチのリリースを開始しました。これは同社にとってほぼ前例のない対応スピードです。マイクロソフト幹部は、新たな展開があるたびに情報を発信し、明確かつ緊急の指示を出しました。
確かに、対応を見てみると、ProxyNotShellの時よりも迅速かつ効果的でした。これは、2020年12月にSolarWindsに対して行ったように、Microsoftが必要に応じてセキュリティ対応に全力を尽くせることを示したもう一つの例です。
またマイクロソフトは、2022年3月から2024年1月にかけて同社を悩ませた、3つの主要な脅威グループ(Lapsu$、Storm-0558、Midnight Blizzard)による企業システムとクラウドシステムの侵害のような大規模な侵害については、最近では関与を避けている。
全体的に見ると、これは比較的迅速に特定され、鎮圧された山火事と言えるでしょう。被害は出ており、チームは(またしても)非常に長い夏の週末を終えたばかりです。しかし、この状況がどうなっていたかを考えると、今回の状況は単に悪かっただけで、ひどいものではありませんでした。
しかし、この脆弱性は根本的な緊張も露呈しています。Microsoft の対応は模範的でしたが、オンプレミス製品に依然として重大なゼロデイ脆弱性が見られるという事実は、Microsoft のクラウドファーストで AI に重点を置いた将来において、これらのシステムがどのような位置を占めるのかという疑問を引き起こします。
Exchange、SharePoint、そしてもちろん Windows (ActiveDirectory を含む) などのオンプレミス ソフトウェアのセキュリティ保護は、同社の Secure Future Initiative のどこで優先されるのでしょうか?
2000年代初頭に私と仲間たちが構築に携わった、円滑に機能する「Patch Tuesday」の仕組みは、今もなお健在です。しかし、パッチの数は増え続けており、近年、Patch Tuesdayをめぐるイノベーションと開発のレベルは全体的に低下しています。
一例として、Microsoftは2000年代後半に「再起動不要」のパッチを約束しました。当時私が主催していたセキュリティ情報ウェブキャストで、このパッチを「近日公開」と約束していたことをはっきり覚えています。しかし、当時は再起動不要のパッチは実現しませんでした。
マイクロソフトは、ようやくこの約束を果たしつつありますが、それには 15 年以上かかり、ユーザーにコストを課し、同社のクラウド サービスに結び付けられた形で、明らかにエンタープライズ領域に重点を置いた形で実装しています。
今日のクラウド&AI時代において、多くの組織は依然としてSharePointなどのオンプレミスシステムに重要な業務を依存しています。マイクロソフトが今回の脆弱性に迅速に対応したことは、同社が状況に対応できる能力があることを証明しています。しかし、同社がクラウドファーストの取り組みを加速させる中で、オンプレミスのソフトウェアにも同様のレベルのケアとイノベーションが提供されるのだろうかという疑問が湧いてきます。
最近の火事は消えたかもしれないが、あの燃え盛る疑問は依然として残っている。
