サイバーリーズンでは現在、オンプレミスのMicrosoft SharePoint Serverに影響を与える2つの脆弱性の悪用について積極的な調査を行っています。

重要なポイント

  • オンプレミスのMicrosoft SharePoint Serverに、2つのゼロデイ脆弱性が発見されました。これらの脆弱性は、CVE-2025-53770 および CVE-2025-53771 として追跡されています。
  • これらの脆弱性の影響を受けるSharePointのバージョンは、「Subscription Edition – KB5002768」、「SharePoint 2019 – KB5002754」、「SharePoint 2016 – KB5002760」が挙げられます。
  • これらの脆弱性が悪用された場合、悪意あるリモートコード実行(RCE)が引き起こされる可能性があります。
  • サイバーリーズンのグローバルSOCによる監視を通じて、これらの脆弱性が現在も活発に悪用されていることを観測しています。
  • サイバーリーズンでは、このエクスプロイトに対応するために、「ハッキングされることを前提とした」セキュリティポスチャーを採用すること、影響を受けるSharePointのバージョンに対して直ちにパッチを適用すること、インシデント対応の履歴を振り返ることなどを推奨しています。

背景情報

オンプレミスのMicrosoft SharePoint Serverに2つのゼロデイ脆弱性が発見されました。これらはCVE-2025-53770 およびCVE-2025-53771として追跡されているものです。これらの脆弱性のCVSS v3.1スコアは、それぞれ「9.8(緊急)」および「6.3(高)」です。

これらの脆弱性の影響を受けるSharePointのバージョンとしては、「Subscription Edition – KB5002768」、「SharePoint 2019 – KB5002754」、「SharePoint 2016 – KB5002760」が挙げられます。これらの脆弱性を組み合わせて悪用すると、権限のないユーザーがネットワーク経由でリモートコードを実行できるようになる可能性があります。

これらの脆弱性は、「ToolShell」と呼ばれる過去のCVEセットに関連しています。ToolShellは、CVE-2025-49706およびCVE-2025-49704として追跡されている脆弱性であり、これらにはMicrosoftによる今年7月のパッチチューズデーでパッチが適用されました。この脆弱性セットは、もともと、Pwn2Own Berlinで発表された、リモートコード実行を可能にするために利用できる「概念実証(POC)」タイプの脆弱性と見なされていたものです。

一方、最新の脆弱性セット(CVE-2025-53770およびCVE-2025-53771)は、過去の脆弱性セットとは異なるものとして認識されており、攻撃者は、この最新の脆弱性セットを悪用することで、オンプレミスのSharePoint Serverに侵入し、攻撃を実行できるようになります。

SharePointの脆弱性に関連するタイムライン
サイバーリーズンのDFIRチームとGSOCチームが作成した、SharePointの脆弱性に関連するイベントのタイムラインを下記に示します。

  1. 2025年5月:Pwn2Own Berlinにて、Viettel Cyber Security社が、「CVE-2025-49704(デシリアライズRCE)」と「CVE-2025-49706(認証バイパス)」を利用した連鎖型のSharePoint攻撃(ToolShell)のデモを実施。
  2. 2025年7月9日(パッチチューズデー):Microsoftが「CVE-2025-49704」と「CVE-2025-49706」の修正プログラムをリリース。
  3. 2025年7月14日:CODE WHITE GmbHがToolShellエクスプロイトチェーンを再現。
  4. 2025年7月18日:Eye Security社が、SharePoint Serverが頻繁に悪用されていることを観測。これは当初、過去のCVEに起因するものだと推測された。
  5. 2025年7月18日夕方:Eye Security社は調査を開始し、これが新たなゼロデイであることを発見。
  6. 2025年7月20日:Microsoftが、SharePoint Serverへの頻繁な攻撃を公式に認め、この攻撃で利用されている脆弱性に「CVE-2025-53770」を割り当て、これをCISAのKEV(Known Exploited Vulnerabilities)カタログに追加。
  7. 2025年7月20~21日:Microsoftが、SharePoint Serverの「Subscription Edition」と「SharePoint 2019」向けの緊急パッチをリリース。この時点では、「SharePoint 2016」向けのパッチはまだ開発中であった。
  8. 2025年7月21日:現在、サイバーリーズンのMDRサービスを通じてグローバルに保護されている顧客を監視しているが、多くの「後追い」タイプの攻撃者が、さまざまなウェブシェルや攻撃パターンを利用して「Cybereason Intrusion Path」を通過しようとしているのを目撃している。
  9. 2025年7月22日:Microsoftは、最初のゼロデイおよび関連するSharePoint攻撃の背後に、中国関連の複数のハッキンググループ(Linen Typhoon、Violet Typhoon、Storm-2603 など)が関与していると発表。Cybereasonは高い確度で、これらの脆弱性が今後もeCrime(経済的利益を目的とする犯罪)を目的とする脅威アクターにより武器化され続けると評価している。

推奨事項

当社のDFIRチームが提唱している主な推奨事項は下記の通りです。

■ハッキングされていることを前提として対処すること:
これらのCVEが確認された時点で、Sharepoint Serverがインターネットに公開されている(または公開されていた)場合、下記の措置を行うことをお勧めします。

  • パッチの適用とインシデント対応の調査が完了するまで、影響を受けるSharepoint Serverを隔離するかまたはシャットダウンすること。
  • フルモードでAMSIを有効にすること。
  • パッチの適用後またはAMSIを有効化した後に、ASP.NETマシンキーをローテートすること。これを行うには、PowerShell(Update-SPMachineKey)を使用するか、またはCentral Admin権限でジョブを実行します。
  • Microsoftのマニュアルに従って、iisreset.exefを使用してIISを再起動すること。

■過去のインシデント対応を調査する際の推奨事項は次の通りです。

  • 「/_layouts/15/ToolPane.aspx?DisplayMode=Edit」を含むPOSTリクエストを検索すること。
  • Refererヘッダ「/_layouts/SignOut.aspx」を検索し、ユーザーエージェント「Firefox/120.0」またはそのURLがエンコードされたフォームを見つけること。
  • SharePointのASP.NETマシンキーをローテートすること。初期の攻撃者は、これらのキーを利用することで有効なViewStateトークンを生成していました。一方、「後追い」タイプの攻撃者は、社内ネットワークのピボットに焦点を当てたパターンから逸脱しているように見えます(これは観測済みです)。
  • layoutsフォルダ内にある.aspxウェブシェル(例:spinstall0.aspx)、およびその他の不審なファイルを(最近作成されたものを中心として)スキャンすること。
  • エンコードされたPowerShellスクリプトを生成するw3wp.exeプロセスを調査すること。
    • \layouts フォルダ内にある不正な.aspxファイル(例:spinstall0.aspx)
    • 「w3wp.exe → cmd.exe → PowerShell」のようなプロセスチェーン
  • 命名規則にかかわらず、「CVE-2025-53770」の悪用によりインストールされた可能性のある追加のウェブシェルや悪意ある.aspxファイルを検索すること。

■断続的な応急処置:

  • Microsoftの顧客である場合、「Antimalware Scan Interface(AMSI)」を有効にした上で、すべてのSharePoint ServerにMicrosoft Defender for Endpoint/Antivirus(または同等のもの)をインストールすること。
  • Microsoft以外のベンダーが提供するEDRソリューションを採用している場合、当該ベンダーは最新の検知プロセスやプレイブックをすでにリリース済みであるか、今後リリース予定である可能性が高いと思われます。
  • MDRプロバイダーを利用している場合、当該プロバイダーがこのエクスプロイトに関していかなる検知および警告のプロトコルを採用しているか、そして同プロバイダーが潜在的なエクスプロイトについて積極的な調査を実施しているかどうかを問い合わせてください。

■断続的な応急処置:

  • IPS/WAFシグネチャを追加して、エクスプロイトをブロックすること。具体的には、一致するRefererヘッダを含むToolPane.aspxへのPOSTリクエストを見つけます。
  • パッチを直ちに適用できない場合や、AMSIを有効化できない場合、修正が完了するまで、公開されているSharePoint Serverをインターネットから切断すること。
  • サーバーのロギング機能(IIS、Sysmon、Windowsイベントなど)を強化し、異常なPOSTリクエスト、layoutsフォルダ内における新しいファイルの書き込み、疑わしいスクリプトの実行チェーンなどを検知できるようにすること。

ご不明点や詳細なご相談がございましたら、お気軽にお問い合わせください。
弊社担当よりご案内させていただきます。
https://www.cybereason.co.jp/contact/

【開催レポート】ランサムウェア対策セミナー「高まるランサムウェアの脅威の実情と企業・組織に求められる具体的な対策」

ランサムウェア攻撃の背景から最新の脅威、実際に被害に遭った企業の経験、具体的な対策を共有し、日本の企業・組織が取り組んでおくべきランサム対策のポイントを考察します。

今後のランサムウェア攻撃対策の強化にお役立てください。
https://www.cybereason.co.jp/product-documents/white-paper/11901/