Microsoft SharePointのゼロデイ侵害、オンプレミスサーバーに被害

エンタープライズITチームは、Microsoftが土曜日にSharePoint Serverのこれまで知られていなかった脆弱性を悪用したサイバー攻撃が進行中であると警告し、セキュリティ研究者が7月18日以降、世界中で数十台のサーバーが侵害されたことを確認したことで、即時の危機に直面しています。

「Microsoftは、7月のセキュリティ更新プログラムで部分的に対処された脆弱性を悪用した、オンプレミスのSharePoint Server顧客を標的とした攻撃が進行中であることを認識しています」と同社は土曜日に発表した声明で述べました。「これらの脆弱性はオンプレミスのSharePoint Serverのみに該当します。Microsoft 365のSharePoint Onlineには影響しません。」

このゼロデイエクスプロイトは、認証なしでリモートからコードを実行できるため、サイバー犯罪者に影響を受けたシステムの完全な制御権を与える可能性があり、企業の運用にとって重大な脅威となります。「このゼロデイ脆弱性は、コラボレーションインフラが都合の良いタイミングでパッチ適用できるという長年の企業の前提に挑戦するものです」とGreyhound Researchのチーフアナリスト兼CEO、Sanchit Vir Gogia氏は述べています。

脆弱性の連鎖が重大なセキュリティギャップを露呈

この攻撃は高度な脆弱性チェーンを悪用しており、セキュリティ専門家は、ベンダーによる包括的な脅威評価へのアプローチに根本的な欠陥があることを示していると指摘しています。「MicrosoftはCVE-2025-49706およびCVE-2025-49704に個別のパッチを提供しましたが、エクスプロイトチェーン全体には完全に対応できておらず、バリアント（現在はCVE-2025-53770）が未対応のまま残されていました」とBeagle Securityのアドバイザー、Sunil Varkey氏は述べています。

「サイバーセキュリティにおいて、単一の脆弱性でも重大なリスクとなり得ますが、複数の脆弱性が組み合わさると、その結果は壊滅的になり得ます」とVarkey氏は説明します。「これは単なる技術的な見落としではなく、個々の要素が組み合わさることで、はるかに危険なものになることを認識できなかった戦略的失敗でした。」

このゼロデイエクスプロイトは、公式のエクスプロイトコードが公開されていないにもかかわらず、研究者による発見から72時間以内に実際の攻撃へと移行しました。「この事例は、部分的な技術情報の公開だけでも、洗練された攻撃者が標的型エクスプロイトを再構築・実行するのに十分であるという傾向が強まっていることを示しています」とGogia氏は指摘します。

セキュリティキーの漏洩で企業への影響が拡大

この攻撃の高度さは、SharePointが文書コラボレーションやワークフロー管理の中核となっている企業環境に特に大きなリスクをもたらします。従来の単純なコマンド実行を狙うWeb攻撃とは異なり、このエクスプロイトはSharePointの暗号基盤を標的とし、持続的なアクセスを維持します。

攻撃の一環として、攻撃者は「spinstall0.aspx」というファイルをアップロードし、Microsoft SharePointサーバーのMachineKey構成（ValidationKeyおよびDecryptionKeyを含む）を盗み出しますと、セキュリティ研究者は報告しています。「この暗号情報が漏洩すると、攻撃者は完全に有効な署名付き__VIEWSTATEペイロードを作成できるようになります」とEye Securityは分析で説明しています。

大規模な悪用キャンペーンを最初に特定したオランダのサイバーセキュリティ企業Eye Securityは、7月18日午後6時（中央ヨーロッパ時間）ごろから、脆弱なサーバーが組織的に標的にされ始めたことを発見しました。「数時間以内に、同じペイロードが同じファイルパスで使われて侵害されたサーバーが数十台以上あることを特定しました」とEye Securityの研究者は分析で述べています。

脅威の深刻さから迅速な連邦対応が取られ、CISAはCVE-2025-53770を既知の悪用脆弱性カタログに追加しました。これは実際の悪用が確認されてからわずか2日後の日曜日のことです。「BOD 22-01は、連邦民間行政機関（FCEB）が、FCEBネットワークをアクティブな脅威から保護するため、期限までに特定された脆弱性を修正することを義務付けています」と同庁は勧告で述べ、連邦機関に7月21日までの緩和策実施を求めました。

影響の違いを受けてクラウド移行の緊急性が高まる

CVE-2025-53770はMicrosoftのクラウド版SharePoint Onlineサービスには影響せず、オンプレミス版のみが対象でした。この違いにより、コラボレーションプラットフォームのクラウド移行への企業の関心が再び高まっています、とアナリストは述べています。

「SharePoint Onlineが影響を受けなかったのは偶然ではありません。これは、集中型テレメトリ、統合された脅威対応、自動パッチ適用を備えた制御されたサービスプレーンの結果です」とGogia氏は説明します。「教訓は明らかです。セキュア・バイ・デザインのアーキテクチャはもはや選択肢ではなく、必須です。」

すぐにクラウド移行できない企業にとっては、即時の緩和策が極めて重要です。「オンプレミスのSharePoint Server環境を保護するため、AMSI統合の設定と、すべてのSharePointサーバーへのDefender AVの導入を推奨します。これにより、認証されていない攻撃者によるこの脆弱性の悪用を防ぐことができます」とMicrosoftは勧告で説明しています。

「AMSIを有効にできない場合は、セキュリティ更新プログラムが利用可能になるまでサーバーをインターネットから切断することを検討してください」とMicrosoftは付け加えています。また、SharePointサーバーのASP.NETマシンキーのローテーションと、セキュリティ更新後のIISサービスの再起動の重要性も強調しています。

「ToolShell」として知られるこの脆弱性チェーンは、5月のPwn2Own Berlinセキュリティカンファレンスで最初に実証された2つの既知の脆弱性を組み合わせたものです。Microsoftはこれらの元の脆弱性には対応しましたが、サイバー犯罪者はすぐに修正を回避するバリアントを開発しました。

「Microsoftは、パッチ検証の不完全さ、脆弱性チェーンの脅威モデリングの不十分さ、敵対的テストの限定性、そして公開後のエクスプロイト進化の速さにより、これを予測できなかった可能性があります」とVarkey氏は説明します。

企業の対応戦略

MicrosoftとCISAの両方の勧告は、企業のセキュリティチームが即座に侵害の可能性を評価し、包括的な監視機能を実装することを推奨しています。SharePointはOutlook、Teams、OneDriveなどのMicrosoftの主要サービスと統合されているため、不正アクセスの兆候を徹底的に調査する必要があり、侵害が成功するとラテラルムーブメントや認証情報の窃取を通じてネットワーク全体への拡大が急速に進む可能性があります。

「セキュリティ対応は、異常なアクセスパターンのライブ検知、自動的なシークレットのローテーション、継続的なエクスプロイト監視を含むべきです」とGogia氏は助言します。「CVE通知を受動的な情報として扱うのはもはや許されません。エクスプロイトの可能性がエコシステム内で見えた瞬間に、脅威対応を開始する必要があります。」