CISAがZimbra/SharePointの実害悪用を警告—メールと協業の“基盤”が狙われる局面です

今日の深掘りポイント

• コラボレーション面（メール/グループウェア/SharePoint）の脆弱性悪用が、諜報目的の継続的キャンペーンと結びつくと、検知の難しさと業務影響の大きさが同時に跳ね上がります。
• ZimbraのClassic UIにおけるストアドXSSは、単なるフロントの不具合ではなく、セッション奪取やメール箱収集に直結しやすい“入口兼ハブ”の欠陥です。CSSの@import悪用という一見地味な経路でも、有効なセッションを盗めれば勝ち筋になります。
• SharePointのデシリアライズRCEは、侵入後の横展開に理想的な「足場」を提供します。Webシェル常設からPowerShell実行、ドメインの探索・権限昇格まで、既視感のある流れが想定されます。
• CISAの「実害発生」警告は、KEVカタログの指定と是正期限を伴う運用（BOD 22-01）と一体です。優先パッチSLAを“数日単位”に縮める判断と、並行の侵害有無評価（コンプロマイズ・アセスメント）が必須です。
• タイムラインのタイトさ（緊迫度）と現場での行動可能性が高い事案です。緊急パッチを前提に、WAF/ゲートウェイやメール描画ポリシーでの即応的なリスク低減も併走させるのが実務的です。

はじめに

CISAがZimbra Collaboration Suite（ZCS）とMicrosoft Office SharePointの脆弱性について「実際に悪用されている」と警告しました。報道では、ロシアの国家支援とされる侵入セットが関与する「Operation GhostMail」との関連が指摘され、さらに同時期にCiscoのゼロデイ攻撃発生にも言及がありました。メールと協業の“業務基盤”をまとめて狙う構図は、攻撃者にとって密かに情報を吸い上げるのに極めて効率的です。組織側は、パッチ適用の迅速化だけでなく、いま既に侵害されていないかを短期決着で見切る意思決定が問われる局面です。

本稿では、確認できる事実と運用上の含意を切り分け、MITRE ATT&CKの観点も交えて、現場が今すぐ役立てられる優先順位と検知・是正のポイントを整理します。なお、Ciscoゼロデイに関しては見出し上の言及にとどまり、一次情報が限られるため詳細の断定は控えます。

参考情報（報道/一次情報）

• 報道: CISA Warns of Zimbra, SharePoint Flaws Actively Exploited
• 一次情報の枠組み: CISA Known Exploited Vulnerabilities (KEV) Catalog, CISA Binding Operational Directive 22-01

深掘り詳細

事実関係（報道・公的枠組みに基づく整理）

• Zimbra（ZCS）Classic UIにストアドXSS（CVE-2025-66376）が存在し、HTMLメール中のCSS @importディレクティブが悪用トリガになると報じられています。これにより、閲覧時にユーザーのブラウザ文脈で任意スクリプトが実行され、セッションやメールデータへの不正アクセスに繋がる可能性があります（報道ベース）です。
• Microsoft Office SharePointに信頼できないデータのデシリアライズ欠陥（CVE-2026-20963）があり、ネットワーク越しのRCE（遠隔コード実行）が成立すると報じられています（報道ベース）です。
• CISAは両脆弱性が「実際に悪用されている」と警告しており、通常この種の警告はKEVカタログ追加と是正期限の設定（BOD 22-01準拠）を伴います。連邦機関に対しては期限内の修正適用と侵害痕跡の確認が求められる運用が通例です。
• 攻撃キャンペーン「Operation GhostMail」は、ロシアの国家支援侵入セットと関連付けて報じられていますが、同キャンペーンの技術的詳細は公開された一次資料が限られる可能性があるため、現時点では推定を交えた評価に留めるのが妥当です。

注: 各CVEの技術詳細、影響バージョン、パッチ適用手順やKEV掲載日・是正期限は、各ベンダーのセキュリティアドバイザリおよびCISAの公式エントリでの最終確認を強く推奨します。

編集部の視点（運用含意と“なぜいま”）

• 攻撃者のねらい目は“認証済みデータの母集団”です。メールボックスとSharePointサイトはまさにそこに該当し、XSSでセッションを得てメールを抜き、SharePointでRCEを得て横展開を加速する——この二段構えはスパイ活動のTTPとして理にかなっています。新規性は高くなくとも、業務継続の要を押さえるがゆえに攻撃の成功確率が高まります。
• 本件は“即応できるか”が勝負です。緊迫度と現場での行動可能性がともに高い案件であり、定例のウィンドウを待たない緊急変更（Emergency Change）の判断を推奨します。あわせて、侵害の有無を最短で見切るためのスコープ定義（どのZimbra/SharePointが公開/到達可能か、どの範囲のユーザーがClassic UIを利用しているか、SharePointはオンプレか）を今日中に固めるのが肝要です。
• クラウド/オンプレの誤解に注意です。SharePoint OnlineはMicrosoft側で継続的に更新されますが、オンプレのSharePoint Serverは組織側の責任でパッチ適用が必要です。Zimbraも多くが自己運用・サービス提供者運用で、外部公開が一般的なため曝露面が広がりがちです。自社/委託先の境界で責任分解点を明確化してください。

脅威シナリオと影響

以下は、報道と一般的なTTPに基づく仮説シナリオです。組織固有の環境に応じて置換して評価してください。

• シナリオA（Zimbra・ストアドXSS経由）

  • 初期アクセス: 特定のHTML/CSSを含むメールをターゲットドメイン宛てに送付（T1566 フィッシング／T1189 Drive-by Compromiseの性質を併せ持つ想定）です。
  • 実行: Classic UIでメール閲覧時にブラウザ文脈でスクリプト実行（T1203 Exploitation for Client Execution相当）です。
  • 資格情報/セッション取得: WebセッションCookie窃取（T1539 Steal Web Session Cookie、T1606.001 Forge Web Credentials: Web Cookies）です。
  • 情報収集と持ち出し: メールボックスの自動取得（T1114 Email Collection）、C2経由で送出（T1041 Exfiltration Over C2 Channel）です。
  • 横展開: 得たセッションや有効アカウントの再利用（T1078 Valid Accounts）で内部アプリへ拡張です。

• シナリオB（SharePoint・デシリアライズRCE経由）

  • 初期アクセス: 公開SharePointへの脆弱性悪用（T1190 Exploit Public-Facing Application）です。
  • 永続化: Webシェル配置（T1505.003 Server Software Component: Web Shell）です。
  • コマンド実行/探索: PowerShell等の実行（T1059.001 PowerShell）、AD/信頼関係探索（T1482 Domain Trust Discovery）です。
  • 認証情報奪取と横展開: OS資格情報ダンピング（T1003.001 LSASS）、SMB/WinRM等で移動（T1021.002 SMB/Windows Admin Shares, T1021.006 WinRM）です。
  • 目的達成: ファイル/SharePointコンテンツの収集（T1039 Data from Network Shared Drive、SharePoint API経由の取得）、長期的な窃取と潜伏です。

影響評価のポイント

• メール/SharePointは“組織の記憶”です。短期的な情報漏えいリスクに加え、長期的な持続的スパイ活動の踏み台となる恐れがあります。
• SharePointサーバはしばしば高権限で稼働し、AD連携も濃い構成です。RCEが成立すると、ドメイン全体の安全性に波及しかねません。
• 多層の監視網をすり抜けやすいのは、ユーザー操作に見える挙動（メール閲覧）と、正当なアプリプロセス（w3wp/PowerShell）を用いるためです。主語が“ユーザー”や“正規プロセス”であるがゆえに、検知ロジックの精度が試されます。

セキュリティ担当者のアクション

優先度順に、実務で動かしやすい形に落とし込みます。

1. 露出資産の特定と隔離（今日中に）

• Zimbra
  • Classic UIの実利用有無、インターネット露出状況、メールゲートウェイの経路を棚卸します。
  • 一時対策として、可能ならClassic UIの利用制限/Modern UI誘導、メールのHTML表示ポリシーをテキスト優先に変更、外部リソース自動読み込みの抑止を検討します（ユーザー影響と業務要件を天秤にかけつつ短期限定で）です。
  • 逆プロキシ/WAFで外部ホストへの@import呼び出し（text/cssでの外部参照）を抑止するルールを暫定導入します（誤検知に注意し段階的ロールアウトで）です。
• SharePoint
  • 公開エンドポイントの一覧化、到達元IPの制限強化（VPN/ゼロトラスト配下に収容）、不要な匿名/外部共有の無効化です。
  • オンプレ/クラウドの責任境界（自社/委託）を明記し、パッチ適用窓口を一本化します。

2. パッチ適用と是正期限のコミット（今週前半までに）

• ベンダー/KEVの一次情報で該当バージョンと修正ビルドを確認し、緊急変更手続きで適用します。CISAの是正期限（KEV掲載時に提示）に合わせ、社内SLAを“数日”単位で上書きする判断が望ましいです。
• 再起動/サービス中断が必要な場合、業務影響の最小化と裏取り（ロールバック手順、事後検証）をセットで設計します。

3. 侵害有無の確認（パッチと並走で）

• Zimbra
  • Webアクセスログ/メールログで、Classic UIアクセス直後の外部ドメインへの連続的なHTTP(S)リクエスト、HTMLメールに起因する異常なスクリプトエラーやCSP違反ログを抽出します。
  • 短期間で大量のメールアイテム/添付のダウンロード、管理者セッションの異常な地理/時間帯からの並行利用を確認します。
• SharePoint
  • WebサーバのログとSharePoint ULSログで、不審な例外連発、w3wpクラッシュ、異常なPOSTパターン、直後のaspx/ashxファイル新規作成（特に_layouts、_vti_bin配下）をスキャンします。
  • サーバ上の新規/改変されたaspxファイル、IIS設定の変更、PowerShell実行履歴（Module/Transcript/Script Block Loggingが有効なら）を確認します。
• 共通
  • EDR/AVの検知抑止イベント、プロキシ/DNSでの新規ドメインへの急増アクセス、メールルールの不審変更（自動転送/削除）を確認します。

4. 検知の底上げ（継続）

• ルール化
  • 「短時間に大量のメールアイテム閲覧/ダウンロード」「管理者セッションの地理的矛盾」「w3wp→PowerShellのスプロセ挙動」「SharePointディレクトリへaspx新規作成」「Zimbraホストから外部への異常なHTTPリクエスト」を相関で検知します。
• ATT&CKマップに沿ったハンティング
  • T1539/T1606（Web Cookie）を示唆するブラウザ拡張やHTTPヘッダの異常、T1505.003（WebShell）の高頻度アクセス/未承認の管理者操作、T1059.001（PowerShell）のBase64エンコード/AMSI回避兆候などを重点監視します。

5. ガバナンスとコミュニケーション

• KEVフィードを脆弱性管理に直結させ、「KEV指定＝優先度P0、是正SLA=数日」の明文化を進めます。BOD 22-01の思想に沿って、資産/委託先を含む全体での遵守状況を可視化します。
• クラウド/オンプレの責任分界、委託先（MSP/ホスティング事業者）への通知・合意形成、ユーザー向けの一時的UI変更やHTML描画制限の説明を、簡潔なFAQでセット化します。

6. 中期ハードニング

• Zimbra/SharePointを境界内に“素で”晒さない設計（アイソレーションプロキシ/ゼロトラスト前段収容、強いCSP/HTTPセキュリティヘッダの適用、メールの外部リソースフェッチ抑止）を進めます。
• 権限の最小化（アプリプールID/サービスアカウントの権限再点検、分離）、監査/トレーサビリティの強化（モジュール/スクリプトブロック/転送ログの有効化、長期保管）です。

最後に——今回の指標が示すのは、即応の必要性と現場への落とし込みやすさの両立です。新規性は突出していない一方で、攻撃の成立確率と信頼性は高く、時間軸が短いほど守りやすい案件です。パッチを当てる、だけではなく「もう侵害されていないか」を今すぐ確かめる——この順序で着地させることが、被害の実抑止につながる最短ルートです。今回の一件を、KEVドリブンのSLAとコンプロマイズ・アセスメントを標準プロセスに組み込むための“踏み台”にしてしまいましょう。

参考情報

• 報道: The Hacker News: CISA warns of Zimbra, SharePoint flaws actively exploited
• 一次情報（枠組み・運用）: CISA Known Exploited Vulnerabilities (KEV) Catalog, CISA Binding Operational Directive 22-01