中国政府と関係のあるハッカーが、Microsoft SharePointのゼロデイ脆弱性チェーンを標的とした最近の大規模な攻撃の波に関与していることが判明しました。
彼らはこのエクスプロイトチェーン(「ToolShell」と呼ばれる)を利用し、オンプレミスのSharePointサーバーに侵入した後、世界中の数十の組織を侵害しました。
「この初期の悪用に関与している攻撃者のうち少なくとも1つは、中国系の脅威アクターであると評価しています。現在、複数のアクターがこの脆弱性を積極的に悪用していることを理解することが重要です」と、Google CloudのMandiant Consulting CTOであるCharles Carmakal氏はBleepingComputerに語りました。
「さまざまな動機を持つ他の脅威アクターもこのエクスプロイトを利用するため、この傾向が今後も続くと十分に予想しています。」
金曜日、オランダのサイバーセキュリティ企業Eye Securityが、CVE-2025-49706およびCVE-2025-49704の脆弱性を悪用したゼロデイ攻撃を初めて発見しました(これらはViettel Cyber Securityの研究者によってベルリンPwn2Ownハッキングコンテストで初めてデモされました)。
同社はBleepingComputerに対し、すでに54以上の組織が侵害されており、その中には複数の多国籍企業や国家政府機関も含まれていると伝えました。
Microsoftは、7月のPatch Tuesdayアップデートの一環としてこの2つの脆弱性にパッチを適用し、週末には脅威アクターが完全にパッチ適用済みのSharePointサーバーを侵害するために使用したゼロデイに対して新たに2つのCVE ID(CVE-2025-53770およびCVE-2025-53771)を割り当てました。その後、SharePoint Subscription Edition、SharePoint 2019、SharePoint 2016向けに両方のRCE脆弱性に対応する緊急パッチもリリースしています。
PoCエクスプロイトが公開
月曜日、Microsoftが影響を受けるすべてのSharePointバージョン向けにセキュリティパッチをリリースした後、CVE-2025-53770の概念実証(PoC)エクスプロイトもGitHubで公開され、より多くの脅威アクターやハッキンググループが進行中の攻撃に参加しやすくなりました。
CISAもまた、CVE-2025-53770のリモートコード実行脆弱性を「既知の悪用脆弱性カタログ」に追加し、連邦機関に対してパッチ公開の翌日に適用を命じました。
「この悪用活動は、一般に『ToolShell』として報告されており、認証なしでシステムにアクセスできるようになり、悪意のあるアクターがSharePointのコンテンツ(ファイルシステムや内部構成を含む)に完全にアクセスし、ネットワーク越しにコードを実行できるようになります」とサイバーセキュリティ庁は述べています。
「Microsoftは迅速に対応しており、当庁も同社と協力して、影響を受ける可能性のある組織に推奨される緩和策を通知する支援をしています。CISAは、オンプレミスのMicrosoft SharePointサーバーを運用するすべての組織に対し、直ちに推奨される対応を取るよう強く促します。」
クラウド検知&レスポンス入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎます。
この実践的かつ分かりやすいガイドで、クラウド検知&レスポンス(CDR)がセキュリティチームにもたらす優位性について学びましょう。