Microsoft Tapped China Engineers for SharePoint Support
2025/09/05 gbhackers — 新たな調査により明らかになったのは、Microsoft が SharePoint の技術サポートとバグ修正を、中国拠点のエンジニアに委託していたことだ。SharePoint はコラボレーション・ソフトウェアであり、米国政府機関を含む数百の組織に被害を及ぼす大規模なサイバー攻撃で、中国政府により支援されるハッカーが悪用を重ねているものである。
2025年8月に Microsoft が公表したのは、中国のハッカーが SharePoint の脆弱性を悪用し、国家核安全保障局 (NNSA) や国土安全保障省などの、多数の政府機関や企業のコンピュータ・システムに侵入したことだ。
しかし、そのときの発表で伏せられたのは、SharePoint のサポートが長年にわたり、中国拠点のエンジニアリング・チームにより担当されていたことだ。
ProPublica が検証した、Microsoft の社内作業追跡システムのスクリーンショットにより判明したのは、最近になって中国拠点の従業員が、先月の攻撃で標的となったオンプレミス版の SharePoint “OnPrem” のバグ修正を行っていたことだ。
この修正されたバージョンは、顧客自身のコンピュータ/サーバにインストールされ運用されるソフトウェアであり、直接的な操作に対して特に脆弱である。
この中国拠点のチームについて問われた Microsoft は、「米国拠点のエンジニアの監督下にあり、あらゆるセキュリティ要件とマネージャーによるコードレビューの対象となっている」と述べ、自社の慣行を擁護した。
さらに同社は、「この作業の、別の場所への移転がすでに進行中である」と発表したが、具体的な時期については明らかにしなかった。
Microsoft の中国拠点スタッフが、SharePoint ハッキングの関連性は依然として不明だが、サイバー・セキュリティの専門家たちが一貫して警告してきたのは、米国政府システムの技術サポートとメンテナンスを、中国人職員に行わせることで生じる深刻なセキュリティ・リスクである。
より広範な懸念のパターン
今回の件により、Microsoft における外国人労働者への依存が明らかになったが、それは、より大きなパターンの一部である。ProPublica の調査によると、Microsoft は 10年以上にわたり、国防総省のクラウド・システムの保守を、外国人労働者に依存しており、その中には中国拠点の労働者も含まれる。
それらの外国人労働者の監督は、”Digital Escorts” と呼ばれる米国在住の職員により行われているが、彼らの多くに欠けているのは、外国人従業員を効果的に監視するために必要な、技術面での高度な専門知識である。
このエスコート制度が Microsoft により作り出された経緯は、外国人従業員に関する懸念を抱く国防総省関係者の要望を満足させ、機密データを扱う職員は必ず米国市民または永住者であるという要件を満たすことにあった。
このような対策が講じられたが、エスコートたちと、彼らが監督する外国人エンジニアたちの技術スキルの格差により、きわめて機密性の高い情報が、脆弱な状態に放置されてきた。
この暴露により、政府による迅速な対応が促されている。Pete Hegseth 国防長官が指示したのは、テクノロジー企業が外国人エンジニアに依存している状況について、国防省が支援する包括的な調査の開始である。
さらに、Tom Cotton 上院議員 (共和党:アーカンソー州) と、Jeanne Shaheen 上院議員 (民主党:ニューハンプシャー州) は、ProPublica の調査を引用し、Microsoft における中国でのサポート業務について、より詳細な情報の提供を求める書簡を、Pete Hegseth 長官に送付している。
このようなプレッシャーの高まりを受ける Microsoft は、国防総省のクラウド・コンピューティング・システムのサポートに、中国拠点のエンジニアを採用することを停止した。さらに、他の政府系クラウド顧客にも、同様の変更の実施を検討していると伝えている。
最近の SharePoint 攻撃の規模を考えると、これらの情報開示のタイミングは、さまざまな憶測を生むものとなっている。Microsoft の分析によると、中国のハッカーは、2025年7月7日という早い段階から、SharePoint の脆弱性 ToolShell を悪用し始めていた。
Microsoft が最初のパッチをリリースしたのは 7月8日だが、その回避にハッカーが成功したことで、さらに保護を強化するパッチを、同社はリリースせざるを得なくなった。
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、「これらの脆弱性を悪用するハッカーは、ファイル・システムや内部コンフィグレーションを含む、SharePoint のコンテンツへの完全なアクセスを達成し、ネットワーク経由でコードを実行できる」と警告している。
これらの攻撃手法は、被害者のファイルを暗号化し、解放と引き換えに金銭を要求する、ランサムウェアの拡散にも利用されている。
影響と今後の見通し
この侵害による影響について、それぞれの政府機関は、さまざまな報告を行っている。国土安全保障省は、同局からデータが持ち出された証拠はないと述べている。その一方で、国家核安全保障局 (NNSA) を監督するエネルギー省は、機密情報や機密扱いの情報は漏洩しておらず、影響は最小限であると述べている。
Microsoft の発表によると、同社はオンライン版への移行を顧客に促しており、2026年7月にはオンプレミス版の SharePoint のサポートを終了するとのことだ。
この移行は、サブスクリプション型サービスと、クラウド・コンピューティング・プラットフォーム Azure を推進するという、Microsoft の幅広い事業戦略に沿ったものである。
Microsoft において、SharePoint のサポート業務が長年にわたり中国拠点のエンジニアに委託されていたことが明らかになり、注目を集めています。一連の脆弱性を突くサイバー攻撃が、実際に政府機関を狙った直後というタイミングもあり、外部委託とセキュリティリスクの結びつきが一層強く意識されます。特にオンプレミス版の修正作業が直接狙われた点は、ツールの安全性だけではなく、サポート体制に対する大きな懸念が生じると、この記事は指摘しています。よろしければ、China で検索と、ToolShell で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.