Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706)

セキュリティニュース

投稿日時: 更新日時:

Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706)

2025年7月22日、MicrosoftはオンプレミスのSharePoint Serverを狙ったサイバー攻撃が活発化していることを発表しました。

特にCVE-2025-49706(スプーフィング脆弱性)およびCVE-2025-49704(リモートコード実行脆弱性)を突いた攻撃や関連する脆弱性、CVE-2025-53770,CVE-2025-53771を突いたサイバー攻撃も観測されており、これに対応する緊急セキュリティ更新プログラムが公開されています。

これらの脆弱性はSharePoint Online(Microsoft 365)には影響しませんが、オンプレミス環境にとっては極めて重大なリスクとなります。

国家関与が疑われる攻撃の実態

Microsoftの脅威インテリジェンスによると、中国の国家支援型攻撃グループである「Linen Typhoon」「Violet Typhoon」、および新たに確認された「Storm-2603」が、これらの脆弱性を悪用して、SharePointサーバへ不正アクセスを試みています。攻撃は2025年7月初頭から活発化し、特にインターネットに公開されているSharePointサーバが主な標的となっています。

攻撃者は、ToolPaneエンドポイントに細工したPOSTリクエストを送信し、spinstall0.aspxというWebシェルをサーバにアップロード。このシェルを通じて、機密情報であるASP.NET MachineKeyの窃取などを行い、継続的なアクセスの足がかりにしています。

これらの脆弱性チェーンは「ToolShell」と呼ばれオランダのサイバーセキュリティ企業 Eye Security が、CVE-2025-49706 および CVE-2025-49704 の脆弱性を悪用したゼロデイ攻撃を初めて発見しました

脆弱性とPoCコードの存在が示す現実

特に注目すべきは、CVE-2025-53770およびCVE-2025-53771といった後続の脆弱性も明らかになっており、実際にこれらを用いたPoC(概念実証コード)がGitHub上で公開されている点です。

このPoCコードにより、攻撃者はリモートからSharePointサーバに対して認証回避とRCE(リモートコード実行)を実現する手段を容易に手に入れられる状態にあります。

影響を受けるバージョンと対応パッチ

脆弱性の影響を受けるSharePoint Serverのバージョンは以下のとおりです:

  • SharePoint Server Subscription Edition
  • SharePoint Server 2019
  • SharePoint Server 2016

それぞれに対して以下のセキュリティ更新プログラムが提供されています。

SharePoint Server Subscription Edition

  • KB5002768

SharePoint Server 2019

  • KB5002754(本体)
  • KB5002753(言語パック)

SharePoint Server 2016

  • KB5002760(本体)
  • KB5002759(言語パック)

企業・自治体が講ずべき緊急対策

  1. 即時パッチ適用:上記のセキュリティパッチをすぐに適用してください。
  2. AMSIとDefenderの導入:Microsoft Defender AntivirusおよびAntimalware Scan Interface(AMSI)のFull Modeを有効にし、Webシェルの実行をブロックするよう構成すること。
  3. IIS再起動とMachineKeyのローテーション:パッチ適用後は、ASP.NETのMachineKeyをローテーションし、IISを再起動してください。
  4. 外部公開制限:AMSIが有効化できない環境では、SharePointサーバをインターネットから遮断する、もしくはVPNや認証付きプロキシで保護することを推奨します。

侵害の兆候

Indicator Type Description
Spinstall0.aspx File name Web shell used by threat actors   Actors have also modified the file name in a variety of ways, such as spinstall.aspx, spinstall1.aspx, spinstall2.aspx
debug_dev.js File name File containing web config data, including MachineKey data
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 SHA-256 Hash of spinstall0.aspx
c34718cbb4c6.ngrok-free[.]app/file.ps1 URL Ngrok tunnel delivering PowerShell to C2
\1[5-6]\TEMPLATE\LAYOUTS\debug_dev.js File path File path for stolen web configs
131.226.2[.]6 IP Post exploitation C2
134.199.202[.]205 IP IP address exploiting SharePoint vulnerabilities
104.238.159[.]149 IP IP address exploiting SharePoint vulnerabilities
188.130.206[.]168 IP IP address exploiting SharePoint vulnerabilities

攻撃兆候を見逃さないために

Microsoft Defender for EndpointやMicrosoft Sentinelの利用者は、特定のアラート(例:SuspSignoutReq、MachineKeyFinder.DAなど)をトリガーとする詳細なハンティングクエリが提供されています。これにより、攻撃兆候の早期発見と封じ込めが可能になります。

 

参照

Disrupting active exploitation of on-premises SharePoint vulnerabilities