2025年7月19日、MicrosoftはSharePoint Serverのゼロデイ脆弱性「CVE-2025-53770」および関連する「CVE-2025-53771」への対応として、オンプレミス環境に向けた緊急セキュリティガイドを発表しました。この脆弱性はゼロデイ攻撃としてすでに世界中で活発に悪用されており、対象となる組織は即時の対応が求められています。
目次
影響を受ける環境
SharePoint Server 2016、2019、およびSubscription Edition(オンプレミス環境)
なお、SharePoint Online(Microsoft 365)はこの脆弱性に影響しません。
Microsoftによる緊急対応ガイド(2025年7月19日付)
対策1:サポート対象バージョンの使用
-
対象:SharePoint Server 2016、2019、Subscription Edition
-
未対応バージョン(2010/2013等)はアップグレード推奨
対策2:7月のセキュリティ更新プログラムを即時適用
| 製品 | KB番号 | ビルド番号 |
|---|---|---|
| SharePoint Server 2019 | KB5002741 | 16.0.10417.20027 |
| SharePoint Server 2016 | KB5002744 | 16.0.5508.1000 |
対策3:AMSI(Antimalware Scan Interface)の有効化
-
Defender Antivirusと連携し、不正なスクリプトやPowerShellの検出を強化
-
2023年9月以降のアップデートで既定値として有効化済み(該当バージョン)
対策4:ASP.NET Machine Keyのローテーション
-
機密キーの漏えいによって攻撃が継続されるため、パッチ適用後に必ずキーを更新
-
PowerShellまたはCentral Adminから手動実行
対策5:Microsoft Defenderによる検出強化
-
検知名:
Trojan:Win32/HijackSharePointServer.Aなど -
Defender for Endpointでの検知ルールにも対応済み
攻撃の発端と発見
2025年7月18日、欧州のEye SecurityのSOC(セキュリティオペレーションセンター)にて、ある顧客のオンプレミスSharePointサーバ上で疑わしい.aspxファイルの動作を検知。IISログを調査すると、異常なRefererヘッダを持つHTTPリクエストにより、認証を経ずにspinstall0.aspxというファイルが配置され、実行されていたことが判明しました。
このファイルは単なるWebシェルではなく、SharePointサーバのMachineKey(ValidationKey・DecryptionKey)を抽出するコードが仕込まれており、取得した鍵を用いて__VIEWSTATEトークンを偽造し、任意のコマンドを実行可能にする仕組みでした。
攻撃の技術的概要
利用された脆弱性
- CVE-2025-49706(認証バイパス)
- CVE-2025-49704(RCE)
- CVE-2025-53770(上記の実働バリアント)
これらはPwn2Own 2025で報告された脆弱性をもとに攻撃チェーン化され、「ToolShell」と呼ばれています。特筆すべきは、認証を必要とせずにRCE(リモートコード実行)を達成できる点です。
攻撃フロー
- 特定のURL(
/_layouts/15/ToolPane.aspx)に対し、Refererを/_layouts/SignOut.aspxと偽装してPOSTリクエストを送信。 - Webサーバ上に
spinstall0.aspxを配置。 - このASPXファイルにGETアクセスすることで、サーバのMachineKey情報が外部に漏洩。
- 漏洩したキーを使い、
__VIEWSTATEを偽造。 ysoserialを用いて、PowerShellなどのコマンドをRCEとして実行。
実際の被害事例と確認状況
Eye Securityは、8000台以上のインターネット公開SharePointサーバをスキャンし、複数の実際の侵害を確認しています。
- 被害確認されたサーバの多くは、spinstall0.aspxが配置されていた。
- IISログには、ユーザー認証情報が記録されておらず、完全に認証不要で実行された攻撃であることが裏付けられた。
- 一部の被害組織では、既にWebサーバの制御が奪われ、内部情報が窃取された形跡あり。
侵入の証拠(IOC)
以下の指標が検知された場合、即時にフォレンジック調査と封じ込めが必要です:
/spinstall0.aspxへのGETアクセスログ- Refererに
/_layouts/SignOut.aspxを含むPOSTリクエスト ToolPane.aspxへの異常なアクセス- IISのログ上でユーザー名なしにWebシェル設置
- PowerShellのエンコード実行
- 検知されたIP例:
- 107.191.58[.]76
- 104.238.159[.]149
- 96.9.125[.]147
攻撃がもたらす組織リスク
この攻撃は、MFA・SSOなどの認証基盤をすり抜けて実行されるゼロデイ攻撃です。攻撃者はSharePoint内のファイル操作だけでなく、ドメイン全体への横展開や暗号鍵の窃取による永続的な侵害が可能になります。
一度機密鍵が奪取されれば、仮にパッチを当てても署名付きトークンを再利用して侵害が継続されるリスクがあり、根本的な防止策としては、キーのローテーションが必須です。
参照
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt








