マイクロソフトは、政府や医療などの重要分野に影響を与える高インパクトな継続中のキャンペーンで、攻撃者がSharePointの脆弱性を積極的に悪用していると警告しました。
このキャンペーンにより、オンプレミスのSharePointサーバーを利用している場合、重要なシステムやデータが重大な侵害リスクにさらされています。
Google Threat Intelligence Groupの分析によると、脅威アクターはすでにウェブシェルの設置や、被害サーバーからの暗号化秘密情報の流出を行っていることが確認されています。
7月19日のアップデートで、マイクロソフトはオンプレミスのSharePoint Server利用者に対し、2025年7月のPatch Tuesdayで部分的にしか対処されていない2つの脆弱性への即時対応を呼びかけました。
これらはCVE-2025-53770で、CVSSスコア9.8の重大な脆弱性です。認証されていない攻撃者がネットワーク越しにコードを実行できるものです。この脆弱性はサイバーセキュリティ専門家の間で「ToolShell」とも呼ばれています。
もう一つはCVE-2025-53771で、CVSSスコア6.3の重要度とされ、認証済みの攻撃者がネットワーク越しになりすまし攻撃を実行できるものです。
SharePoint利用者は侵害を前提とすべき
インターネットに公開されているオンプレミスのSharePointサーバー利用者には、すでに侵害されていると想定するよう指示されています。
パッチ適用だけでなく、即時の対応が推奨されています。これには暗号化情報のローテーションや、専門的なインシデント対応の依頼が含まれます。
さらに、SharePointでWindows Antimalware Scan Interface(AMSI)統合を設定し、影響を受けた場合はDefender AVや他のEDRソリューションを導入することが推奨されています。
また、パッチが提供されるまでMicrosoft SharePointをインターネットから切断することも検討すべきです。
すでにパッチを適用した組織も、修正前にシステムが侵害されていなかったか調査する必要があります。
これらの脆弱性はオンプレミスのSharePoint導入にのみ影響し、Microsoft 365環境のSharePoint Onlineには影響しません。
身元確認制御を回避する高深刻度の脅威
マイクロソフトと連携してこの攻撃キャンペーンを追跡しているPalo Alto NetworksのUnit 42チームCTO兼脅威インテリジェンス責任者のMichael Sikorski氏は、政府、学校、医療、大企業の重要システムが即座に侵害のリスクにさらされていると警告しました。
「攻撃者はMFAやSSOを含む身元確認制御を回避して特権アクセスを獲得しています。一度侵入すると、機密データの流出、持続的なバックドアの設置、暗号鍵の窃取を行っています。攻撃者はこの脆弱性を利用してシステムに侵入し、すでに足場を築いています」と同氏は述べています。
Sikorski氏はまた、SharePointがOffice、Teams、OneDrive、Outlookなど他のMicrosoftサービスと深く統合されている点を強調し、これらには攻撃者にとって価値の高い情報が含まれていると指摘しました。
「侵害は一箇所にとどまらず、ネットワーク全体への扉を開くことになります」と同氏は付け加えました。
WatchTowrのCEO、Benjamin Harris氏は、攻撃者が通常よりも高度な手法を用い、SharePointの内部暗号鍵を取得するバックドアを展開しているようだと述べました。
これには、ASP.NETでリクエスト間の状態情報を保持する主要な仕組みである_VIEWSTATEパラメータを保護するためのMachineKeyも含まれます。
「これらの鍵を手にした攻撃者は、SharePointが正当と認識する偽造__VIEWSTATEペイロードを作成できるため、シームレスなリモートコード実行が可能になります。この手法は復旧を特に困難にします。通常のパッチではこれら盗まれた暗号化秘密情報が自動的にローテーションされないため、パッチ適用後も組織は脆弱なままとなります」とHarris氏はコメントしています。
7月19日に公開されたオランダのセキュリティ企業Eye Securityのブログ記事では、7月18日にこれら2つの脆弱性が実際に悪用されていることを初めて確認したと明かしています。
同社は、7月18日18:00 UTC頃と7月19日7:30 UTC頃の2回の波で、数十のシステムが実際に侵害されたことを突き止めました。
部分的な修正が利用可能
マイクロソフトは、SharePoint Subscription EditionおよびSharePoint 2019を利用している顧客向けに、CVE-2025-53770およびCVE-2025-53771によるリスクから完全に保護するセキュリティアップデートをリリースしています。これらのバージョンを利用している場合は、直ちにパッチを適用してください。
しかし、SharePoint 2016のサポート対象バージョン向けには、まだパッチは提供されていません。
現在進行中の広範な悪用を受け、マイクロソフトは緊急の臨時パッチをリリースする見込みです。
画像クレジット:Tada Images / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-compromising-sharepoint/