事例研究:重大なSharePoint脆弱性を障害発生前に発見
先制的なSharePointセキュリティ対策—公式ガイダンスに先駆けて検証・修正・実施済み
事例研究の概要
新たに公表されたSharePointのリモートコード実行脆弱性が企業環境全体で緊急の修正作業を引き起こした際、マイクロソフトの誤ったガイダンスが追加リスクを生じさせた。US Cloudのエンジニアは公表された緩和手順の欠陥を特定し、実機テストを通じて修正された対策を確認し、公式指示が更新される前に顧客を安全な修正へ導いた。
事件統計
クライアント業種:全業種
テクノロジー:SharePoint
深刻度レベル:1
チケット番号:複数クライアントチケット
何が起きたのか
2025年7月、既知の「ToolShell」エクスプロイト亜種に関連する高影響度のSharePoint脆弱性が、新たな逆シリアライゼーションベクトルを伴って再浮上した。このエクスプロイトは既に複数業界にわたる広範な侵害と関連付けられており、即時の対応が求められた。
マイクロソフトは7月のセキュリティ更新プログラムの一環として、修正プログラムと修復ガイダンスを公開しました。しかし、米国クラウドエンジニアが手順を確認したところ、重要な緩和策であるSharePoint ServerのASP.NETマシンキーのローテーションが不完全であり、場合によっては誤っていることが判明しました。記載されたガイダンスをそのまま実行すると、環境が危険にさらされたり、不適切に修復されたりする可能性があります。
同時に、顧客は自らの環境を検証し、パッチを適用し、もはやリスクにさらされていないことを確認するための支援を積極的に求めていた。
問題解決のタイムライン
SharePointがハッキングされた際、当社チームはMicrosoftテクノロジーの脆弱性を通じて複数のクライアントを支援しました。公式指示が修正される前に、当社の専門エンジニアがクライアントの環境を保護した方法の詳細は以下の通りです:
- 7月21日(月):マイクロソフトは 7月のセキュリティ更新プログラムと共に、 公式の脆弱性に関する説明と緩和策を公開しました。
- 月曜日の朝:米国クラウドエンジニアが実環境で パッチと修復手順のテストを開始する。
- 月曜日の昼: 顧客との実践的な修復作業中 、US Cloudは公開された緩和手順における不整合と不足点を特定した。
- 月曜日 午後12時38分:米国の上級クラウドエンジニアが、マシンキーのローテーション手順に欠陥があることを確認し、修正されたプロセスを文書化した。
- その後間もなく:米国 クラウド部門は 修正された緩和策ガイダンスを公開し、顧客に対し適切な修復手順を積極的に案内し始める。
- 火曜日の朝: 米国クラウド部門が修正を実装し共有した後、マイクロソフトは 公式ドキュメントを更新し、修正されたアプローチを反映させた。
米国クラウドが問題を解決するために取った措置
- マイクロソフトのセキュリティガイダンスを表面的に信頼するのではなく、積極的に検証した
- 公開された緩和手順における誤りを、実世界の修復活動を通じて特定した
- SharePoint ASP.NET マシンキーローテーションの正しいアプローチをラボで検証済み
- マイクロソフトの更新に先立ち、修正されたガイダンスを公開しました
- 数十の顧客が安全にパッチを適用し、キーをリサイクルし、修復策を検証するのを支援した
- 脅威が活動している期間中に正確な修正を迅速化することで、顧客のリスク暴露を低減
チケットをエスカレートしたり修正指示を待つ代わりに、US Cloudのエンジニアは問題をエンドツーエンドで主導した——テスト、修正、解決策の実行を並行して進めた。
Microsoftテクノロジーの課題
- Microsoft SharePoint Server
具体的には、ToolShellエクスプロイトの亜種に関連するリモートコード実行脆弱性の修正、およびSharePoint強化の一環としてのASP.NETマシンキーの安全なローテーションを実施する。
結論
この事象は、事後対応型サポートとエンジニア主導型サポートの実践的な差異を浮き彫りにした。マイクロソフトのガイダンスが不十分であることが判明すると、米国クラウドエンジニアは迅速に検証・修正・実装を進め、顧客環境を遅滞なく保護した。
マイクロソフトの深い専門知識と実践的なテスト、積極的なコミュニケーションを組み合わせることで、US Cloudは重大なセキュリティインシデント発生時に迅速かつ安全な解決を実現。正確性とスピードが最も重要となる場面において、独立したサードパーティによるマイクロソフトサポートの価値を実証しました。
