2025年7月18日18:00 UTC頃および7月19日07:30 UTC頃、Microsoftのオンプレミス版SharePoint Serverに存在するゼロデイ脆弱性CVE-2025-53770が積極的に悪用される大規模攻撃が発生した。
この脆弱性はCVSSスコア9.8の深刻度で、2025年7月のPatch Tuesdayで修正されたCVE-2025-49706の変種である。攻撃者は認証なしでネットワーク経由でのリモートコード実行が可能で、SharePointサーバーのMachineKey設定を盗用してspinstall0.aspxファイルを設置し、持続的なアクセスや横展開を実行している。
Eye Securityによると、世界中で85台以上のサーバーが侵害され、54の組織が被害を受けている。被害組織には多国籍企業、政府機関が含まれる。Microsoftは2025年7月19日にアドバイザリを公開したが、公式パッチは未提供である。
暫定対策として、Antimalware Scan Interfaceの設定とMicrosoft Defender AVの導入を推奨し、対応不可能な場合はインターネットからの切断を提案している。SharePoint Onlineは影響を受けていない。CISAは2025年7月20日にKnown Exploited Vulnerabilities Catalogに追加し、緊急対応を呼びかけている。
From: 
Critical Unpatched SharePoint Zero-Day Actively Exploited, Breaches 75+ Company Servers
【編集部解説】
今回のCVE-2025-53770は、SharePointがネットワークから受け取った信頼できないデータを「デシリアライゼーション」する際の脆弱性です。これは単純なバグではなく、アプリケーションの根幹となるデータ処理メカニズムを悪用した高度な攻撃手法といえます。
デシリアライゼーションとは、プログラム間でデータをやり取りする際に使われる標準的な技術で、データを一度「直列化」してから「逆直列化」することで情報を復元します。しかし、この過程で悪意あるコードが混入した場合、システムがそれを正当なデータとして処理してしまうリスクがあります。
ToolShellの巧妙な攻撃メカニズム
この攻撃は「ToolShell」と命名されており、従来のWebシェルとは異なる極めて巧妙な手法を用いています。攻撃者はspinstall0.aspxという特殊なファイルを設置し、単純にコマンドを実行するのではなく、SharePointサーバーの暗号化キー(MachineKey)を密かに窃取することに焦点を当てています。
具体的には、ValidationKeyとDecryptionKeyという2つの重要な暗号鍵を入手し、これらを使ってASP.NETの__VIEWSTATEメカニズムを悪用します。この手法により、攻撃者は正当なSharePointリクエストを装いながら、継続的なアクセス権を確保できるのです。
Pwn2Own発表から悪用までの危険な時系列
興味深いのは、この攻撃の発生タイミングです。2025年5月にベルリンで開催されたPwn2Ownコンテストで発表されたToolShell手法が、わずか数か月後に実際の攻撃で悪用されました。Code White GmbHの研究者が概念実証のスクリーンショットを公開したことが、攻撃者が独自の悪用チェーンを開発するきっかけになったと考えられています。
この経緯は、セキュリティ研究発表と実際の悪用の間に存在する微妙なバランスを浮き彫りにします。研究成果の共有は防御技術の向上に不可欠ですが、同時に悪意ある者にヒントを与えるリスクも含んでいるのです。
影響範囲の深刻さと検出の困難性
現在確認されている被害規模は85台以上のサーバー、54の組織にのぼります。Google Threat Intelligence Groupも「攻撃者がこの脆弱性を悪用してWebシェルをインストールし、被害サーバーから暗号秘密を窃取していることを確認した」と述べており、攻撃の深刻さを裏付けています。
特に深刻なのは、この攻撃が正当なSharePointの動作に紛れ込むため、従来のセキュリティ監視では検出が極めて困難な点です。攻撃者は盗んだ暗号鍵を使って有効な署名を生成するため、システムは攻撃を「正常な処理」として認識してしまいます。
パッチ適用後も残る根本的なリスク
この脆弱性の最も厄介な特徴は、単純なパッチ適用では完全な解決に至らないことです。一度盗まれた暗号鍵は自動的には更新されないため、パッチを当てた後も組織は脆弱な状態が続く可能性があります。
つまり、被害を受けた組織は追加の対策として、MachineKeyの手動ローテーションや全面的なシステム再構築が必要になる場合があります。これは従来のセキュリティインシデント対応とは異なる、より複雑な復旧プロセスを要求します。
政府レベルの緊急対応体制
CISAが異例の速さでKnown Exploited Vulnerabilities Catalogに追加したことからも、この脆弱性が国家レベルのセキュリティ脅威として認識されていることがわかります。オーストラリアやカナダの政府機関も相次いで警告を発出しており、国際的な連携対応が展開されています。
このような迅速な官民連携は、今後のサイバーセキュリティ対応のモデルケースとなる可能性があります。特に、Eye Securityが発見後すぐに各国のCERTに通報した対応は、グローバルな脅威に対する効果的な情報共有体制を示しています。
長期的な技術トレンドへの影響
この事件は、デシリアライゼーション攻撃という手法の進化を示しており、従来のペリメターセキュリティモデルの限界を露呈しています。今後は、アプリケーションレベルでのより深い監視と、ゼロトラストアーキテクチャの導入が加速する可能性があります。
また、Microsoftが推奨するAMSI統合のような、ランタイムでの動的検知機能の重要性が再認識されるでしょう。これは、静的なパッチ適用だけでなく、継続的な脅威検知が必要な時代への転換点を示しています。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
共通脆弱性識別子。セキュリティ脆弱性に対して一意の識別番号を割り当てる国際的なデータベースシステム。CVE-2025-53770のように「CVE-年-番号」の形式で表記される。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0~10の数値で表現する標準的な評価システム。9.8のような高スコアは極めて深刻な脆弱性を示す。
デシリアライゼーション
プログラムが保存されたデータを元の形式に復元する処理。攻撃者が悪意あるデータを混入させることで、システムが不正なコードを実行する脆弱性の原因となる。
__VIEWSTATE
ASP.NETアプリケーションでページの状態情報を保持するメカニズム。暗号学的に署名され、ValidationKeyとDecryptionKeyで保護される。
MachineKey
ASP.NETアプリケーションでデータの暗号化と署名検証に使用される暗号鍵。ValidationKey(署名用)とDecryptionKey(暗号化用)で構成される。
AMSI(Antimalware Scan Interface)
Microsoftが開発したマルウェア検知インターフェース。アプリケーションがリアルタイムでマルウェアスキャンを実行できる機能。
ゼロデイ攻撃
ベンダーがパッチを提供する前に発見・悪用される脆弱性を狙った攻撃手法。防御が困難な最も危険な攻撃の一つ。
Webシェル
攻撃者がWebサーバーに不正に設置するバックドアプログラム。リモートからサーバーを制御し、持続的なアクセスを維持する。
spinstall0.aspx
今回の攻撃で使用された特殊なASPXファイル。対話的なコマンドではなく、SharePointサーバーの暗号鍵を窃取する目的で設計されている。
KEV(Known Exploited Vulnerabilities)
CISAが維持する既知の悪用済み脆弱性カタログ。連邦政府機関に対する修正義務を課す重要な指標。
【参考リンク】
Microsoft Security Response Center(外部)
Microsoftの公式セキュリティ情報センター。脆弱性詳細とパッチ情報を提供
Eye Security(外部)
オランダのサイバーセキュリティ企業。CVE-2025-53770の大規模悪用を発見
Palo Alto Networks Unit 42(外部)
世界的脅威インテリジェンス部門。24時間サイバー攻撃対応を実施
CISA(外部)
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁の公式サイト
Code White GmbH(外部)
ドイツのセキュリティ研究企業。Pwn2OwnでToolShell手法を発表
Google Threat Intelligence Group(外部)
Googleの脅威分析部門。世界規模の脅威インテリジェンスを提供
【参考記事】
SharePoint Under Siege: from SOC triage to new 0-day(外部)
Eye Securityによる詳細技術解析。CVE-2025-53770の発見経緯と攻撃手法を解説
Customer guidance for SharePoint vulnerability CVE-2025-53770(外部)
Microsoft公式セキュリティガイダンス。技術詳細と推奨対策を公式見解で提供
Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770)(外部)
CISA公式アラート。連邦政府機関および民間組織に対する具体的対策指示を発出
CISA Adds One Known Exploited Vulnerability, CVE-2025-53770 “ToolShell,” to Catalog(外部)
CISAがCVE-2025-53770をKEVに追加。連邦政府機関に修正義務を課す
SharePoint Under Attack: Microsoft Warns of Zero-Day Exploited in the Wild, No Patch Available(外部)
SecurityWeekの業界分析。Google脅威分析グループのコメントと企業見解を統合
【編集部後記】
今回のSharePoint脆弱性は、私たち編集部にとっても衝撃的なニュースでした。Pwn2Ownで発表された概念実証が、わずか数か月で実際の大規模攻撃に発展するスピード感は、現代のサイバーセキュリティ環境の厳しさを物語っています。
皆さんの組織では、こうした高度な攻撃に対してどのような備えをされていますか?特に、パッチ適用後も暗号鍵の手動ローテーションが必要になるような複雑なインシデント対応についてはいかがでしょうか。
また、セキュリティ研究の発表と実際の悪用の間に存在する微妙なバランスについても、皆さんのご意見をお聞かせください。防御技術の向上と攻撃者への情報提供リスク、この両方を考慮した責任ある開示のあり方を、私たちも読者の皆さんと一緒に考えていきたいと思います。
