マイクロソフトは、中国の脅威アクターがSharePointのゼロデイ脆弱性をパッチが提供される数週間前から悪用していたと発表しました。しかし、同社が共有した詳細情報は、実際にどのCVEが悪用されたのかについてさらなる混乱を招いています。
同社が実施した分析によると、ToolShellと名付けられたSharePointのゼロデイの悪用は、早くも7月7日から始まっていたことが判明しました。攻撃に関する最初の公開報告は、7月18日に悪用の試みが確認されたことで引き起こされました。
サイバーセキュリティ業界の一部では、ToolShell攻撃の第一波が中国に関連しているとすでに指摘されており、さまざまな分野の高価値ターゲットが被害を受けたとされています。
しかし、マイクロソフトのタイムラインによれば、中国のハッカーはこれらの脆弱性の潜在的な影響や価値について、これまで考えられていたよりもはるかに早く把握していたことが示唆されています。
マイクロソフトによると、Linen TyphoonとViolet Typhoonという2つの中国の国家支援型脅威アクターが、ToolShellの脆弱性を初期アクセスのために利用しようと試みていました。さらに、同社は中国と中程度の確度で関連付けられているStorm-2603という第三の脅威グループもゼロデイ攻撃を行っていたことを確認しています。
Linen Typhoonは2012年から活動しており、防衛、政府、人権、戦略企画分野の組織から知的財産を盗み出してきました。Violet Typhoonは10年以上活動しているサイバースパイグループで、元軍人や政府関係者、NGO、大学、メディア企業、シンクタンク、金融機関、その他米国、欧州、東アジアの組織を標的にしています。
マイクロソフトが確認したToolShell攻撃では、ハッカーは脆弱性を悪用して認証を回避し、脆弱なオンプレミスのSharePointサーバー上でコードを実行しました。攻撃者はその後、ウェブシェルを展開し、マシンキーの窃取や侵害されたシステムへの永続的なアクセスを可能にしました。
「これらのエクスプロイトが急速に採用されていることから、マイクロソフトは未パッチのオンプレミスSharePointシステムに対する攻撃において、脅威アクターが今後もこれらを統合し続けると高い確度で評価しています」とマイクロソフトは述べています。
広告。スクロールして続きを読む。
マイクロソフトはゼロデイ攻撃の背後にいた人物についてある程度の情報を共有していますが、同社のブログ記事はどの脆弱性が悪用されたのかについてさらなる混乱を招いています。
ToolShellは、CVE-2025-49706(なりすましの問題)とCVE-2025-49704(リモートコード実行の脆弱性)という2つのSharePointの脆弱性に付けられた名称であり、その存在はPwn2Own Berlinハッキングコンテストの研究者によって5月にマイクロソフトに報告されました。
マイクロソフトは、2025年7月のPatch TuesdayアップデートでCVE-2025-49706とCVE-2025-49704を修正し、数日後には他の研究者がエクスプロイトチェーンを再現し、ToolShellと名付けました。
ゼロデイ攻撃のニュースが報じられた際、マイクロソフトや他の関係者は、攻撃者がCVE-2025-49704の回避策として割り当てられたCVE-2025-53770を標的にしていたと報告しました。加えて、マイクロソフトはCVE-2025-49706の回避策としてCVE-2025-53771を割り当てました。これら新しいCVEは、最近影響を受けたSharePointバージョンでパッチが提供されました。
マイクロソフトの最新のブログ記事では、中国のハッカーによる攻撃がCVE-2025-49706およびCVE-2025-49704を悪用したと記載されており、CVE-2025-53770およびCVE-2025-53771も悪用されたとは明確に述べられていません。
一部のサイバーセキュリティ企業は、CVE-2025-53770とCVE-2025-53771を連鎖させた攻撃を確認したと示唆していますが、マイクロソフトを含む他の企業は連鎖を確認できていません。
執筆時点で、マイクロソフトの公式アドバイザリにはCVE-2025-53770のみが悪用されたと記載されており、CVE-2025-49706、CVE-2025-49704、CVE-2025-53771は実際に悪用されたとはされていません。
さらに、マイクロソフトの最新ブログ記事では、CVE-2025-53770が認証バイパスとリモートコード実行の両方を可能にすると示されており、これによりエクスプロイトチェーンにCVE-2025-53771は不要であることが示唆されます。
SecurityWeekに対して、ToolShell攻撃でCVE-2025-53770とCVE-2025-53771が連鎖して使用されたことをこれまでに確認した唯一のサイバーセキュリティ企業はWatchTowrです。
同社は連鎖を確認しただけでなく、火曜日にはCVE-2025-53770を、マイクロソフトがパッチをすぐに適用できない顧客向けに推奨していた緩和策であるAntimalware Scan Interface(AMSI)をバイパスする形で悪用できる方法を発見したと報告しました。これは、CVE-2025-53770およびCVE-2025-53771に対するパッチがリリースされる前に推奨されていた緩和策でもあります。
「AMSIは決して万能薬ではなく、この結果は必然でした。しかし、一部の組織がパッチを適用する代わりに『AMSIを有効化』することを選択していると聞いて懸念しています。これは非常に悪い考えです」とWatchTowrのCEO、ベンジャミン・ハリス氏は述べています。
「今回の悪用が国家支援型アクターに関連付けられた今、彼らがSharePointのゼロデイを利用できて、AMSIだけはなぜかバイパスできないと考えるのはナイーブです。組織はパッチを適用しなければなりません。言うまでもありませんが、すべての公開PoCはAMSIをトリガーし、組織に緩和策が包括的である/ホストがもはや脆弱でないと誤認させるでしょう。これは間違いです」とハリス氏は付け加えました。
攻撃のニュースが報じられた時点で、9,000以上のSharePointインスタンスがウェブに公開されており、そのうち数百が最初の数日間に標的となりました。