2025年7月22日、MicrosoftはオンプレミスのSharePoint Serverを狙ったサイバー攻撃が活発化していることを発表しました。
特にCVE-2025-49706(スプーフィング脆弱性)およびCVE-2025-49704(リモートコード実行脆弱性)を突いた攻撃や関連する脆弱性、CVE-2025-53770,CVE-2025-53771を突いたサイバー攻撃も観測されており、これに対応する緊急セキュリティ更新プログラムが公開されています。
これらの脆弱性はSharePoint Online(Microsoft 365)には影響しませんが、オンプレミス環境にとっては極めて重大なリスクとなります。
目次
国家関与が疑われる攻撃の実態
Microsoftの脅威インテリジェンスによると、中国の国家支援型攻撃グループである「Linen Typhoon」「Violet Typhoon」、および新たに確認された「Storm-2603」が、これらの脆弱性を悪用して、SharePointサーバへ不正アクセスを試みています。攻撃は2025年7月初頭から活発化し、特にインターネットに公開されているSharePointサーバが主な標的となっています。
攻撃者は、ToolPaneエンドポイントに細工したPOSTリクエストを送信し、spinstall0.aspxというWebシェルをサーバにアップロード。このシェルを通じて、機密情報であるASP.NET MachineKeyの窃取などを行い、継続的なアクセスの足がかりにしています。
これらの脆弱性チェーンは「ToolShell」と呼ばれオランダのサイバーセキュリティ企業 Eye Security が、CVE-2025-49706 および CVE-2025-49704 の脆弱性を悪用したゼロデイ攻撃を初めて発見しました
脆弱性とPoCコードの存在が示す現実
特に注目すべきは、CVE-2025-53770およびCVE-2025-53771といった後続の脆弱性も明らかになっており、実際にこれらを用いたPoC(概念実証コード)がGitHub上で公開されている点です。
このPoCコードにより、攻撃者はリモートからSharePointサーバに対して認証回避とRCE(リモートコード実行)を実現する手段を容易に手に入れられる状態にあります。
影響を受けるバージョンと対応パッチ
脆弱性の影響を受けるSharePoint Serverのバージョンは以下のとおりです:
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Server 2016
それぞれに対して以下のセキュリティ更新プログラムが提供されています。
- KB5002768
- KB5002754(本体)
- KB5002753(言語パック)
- KB5002760(本体)
- KB5002759(言語パック)
企業・自治体が講ずべき緊急対策
- 即時パッチ適用:上記のセキュリティパッチをすぐに適用してください。
- AMSIとDefenderの導入:Microsoft Defender AntivirusおよびAntimalware Scan Interface(AMSI)のFull Modeを有効にし、Webシェルの実行をブロックするよう構成すること。
- IIS再起動とMachineKeyのローテーション:パッチ適用後は、ASP.NETのMachineKeyをローテーションし、IISを再起動してください。
- 外部公開制限:AMSIが有効化できない環境では、SharePointサーバをインターネットから遮断する、もしくはVPNや認証付きプロキシで保護することを推奨します。
侵害の兆候
| Indicator | Type | Description |
| Spinstall0.aspx | File name | Web shell used by threat actors Actors have also modified the file name in a variety of ways, such as spinstall.aspx, spinstall1.aspx, spinstall2.aspx |
| debug_dev.js | File name | File containing web config data, including MachineKey data |
| 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 | SHA-256 | Hash of spinstall0.aspx |
| c34718cbb4c6.ngrok-free[.]app/file.ps1 | URL | Ngrok tunnel delivering PowerShell to C2 |
| \1[5-6]\TEMPLATE\LAYOUTS\debug_dev.js | File path | File path for stolen web configs |
| 131.226.2[.]6 | IP | Post exploitation C2 |
| 134.199.202[.]205 | IP | IP address exploiting SharePoint vulnerabilities |
| 104.238.159[.]149 | IP | IP address exploiting SharePoint vulnerabilities |
| 188.130.206[.]168 | IP | IP address exploiting SharePoint vulnerabilities |
攻撃兆候を見逃さないために
Microsoft Defender for EndpointやMicrosoft Sentinelの利用者は、特定のアラート(例:SuspSignoutReq、MachineKeyFinder.DAなど)をトリガーとする詳細なハンティングクエリが提供されています。これにより、攻撃兆候の早期発見と封じ込めが可能になります。
参照
Disrupting active exploitation of on-premises SharePoint vulnerabilities








