3つの中国国家支援アクターがSharePointの脆弱性を標的に

出典: bluestork via Shutterstock

少なくとも3つの中国支援の脅威グループが、7月7日に新たに公開された4つのSharePoint脆弱性のうち2つを標的にしていました。これは、Microsoftがパッチを公開し、まだ悪用の証拠はないと発表する前日のことです。

7月22日のブログ投稿で、MicrosoftはLinen Typhoon、Violet Typhoon、Storm-2603が実際に2つの脆弱性（CVE-2025-49706およびCVE-2025-49704）をゼロデイとして利用し始めていたことを、世界中のSharePointサーバーへの継続的な攻撃の調査に基づいて明らかにしました。

中国関連の脅威グループ

「これらのエクスプロイトを使用している他のアクターに関する調査も継続中です」とMicrosoftは述べています。「これらのエクスプロイトの急速な採用により、Microsoftは、脅威アクターが今後も未パッチのオンプレミスSharePointシステムへの攻撃にこれらを組み込むと高い確信を持っています」と同社は警告しています。

Microsoftは7月8日に、SharePoint Server 2016、2018、およびサブスクリプションエディションのなりすまし脆弱性CVE-2025-49706と、2016および2019エディションのSharePoint Serverのリモートコード実行（RCE）脆弱性CVE-2025-49704にパッチを適用しました。同社は、これらの脆弱性の発見をViettel Cyber Securityの研究者に帰し、攻撃者がどのように脆弱性を悪用できるかを示す「ToolShell」と呼ばれる攻撃チェーンを使用したとしています。

Microsoftが2つのバグにパッチを適用してから1週間も経たないうちに、Code White GmbHの研究者が、パッチ適用済みのSharePointサーバーで同様のエクスプロイトチェーンを再現できることを示しました。続く数日間で、オンプレミスSharePointサーバーを標的とした広範なエクスプロイト活動の報告があり、Microsoftは7月19日にさらに2つのSharePoint脆弱性を公開しました。その1つがCVE-2025-53770で、ほぼ最大深刻度（CVSSスコア：9.8）のRCE脆弱性、もう1つがCVE-2025-53771（CVSSスコア：6.4）のSharePointなりすまし脆弱性です。MicrosoftはCVE-2025-53770がCVE-2025-49704と「関連している」とし、詳細は明かしていません。同様に、CVE-2025-53771はパッチ済みのCVE-2025-49706のセキュリティバイパスと説明しています。

これらのバグの関連性について明確化を求めたところ、Microsoftの広報担当者は、今週発行されたCVE-2025-53770およびCVE-2025-53771の修正が、以前に公開・パッチ適用されたSharePointのバグにも「対応している」とだけ述べました。

Microsoftの以前の修正は不十分だったのか？

しかし、DataminrのシニアエンジニアリングアソシエイトであるRocco Fioreは、、現在悪用されている脆弱性CVE-2025-53770は、おそらく以前のToolShell（CVE-2025-49706および49704）向けSharePointパッチのリバースエンジニアリングによって生まれたものだと述べています。これは、Microsoftのこれらの脆弱性に対するパッチが問題を完全には解決していなかったことを示していると彼は言います。

「これは、脅威アクターが同じ脆弱性を再度悪用する余地を残したという点で注目に値します」とFiore氏は述べています。「さらに、臨時パッチは昨日発行されたばかりです。したがって、ほとんどのMicrosoftのゼロデイ[公開]とは異なり、今回は公開時に有効なパッチがありませんでした。」

Linen Typhoonは2012年から存在する中国政府支援のハッキンググループで、防衛、政府、戦略計画機関から機密データや知的財産を主に狙っています。Violet Typhoonは少なくとも2015年以降、NGO、大学、シンクタンクなどを標的としたサイバー諜報活動に関与しているとされています。Storm-2603も中国拠点とみられるグループで、Microsoftは未パッチのオンプレミスSharePointサーバーからMachineKeysを盗もうとする動きを確認していますが、最終的な目的は完全には明らかになっていません。

セキュリティ専門家は、今後数カ月で他の多くの脅威グループもSharePointの脆弱性を狙い、攻撃手法に組み込むと確信しています。

SharePointサーバー：人気の標的

SentinelOneのシニア脅威リサーチャーであるJim Walter氏は、SharePointサーバーは機密組織データを保存している可能性が高いため、脅威アクターにとって魅力的だと述べています。「ナレッジストアとしての価値に加え、脆弱なSharePointサーバーは、被害組織への内部ウォータリングホール攻撃のための追加攻撃コンポーネントを設置・配信するためにも利用できます」とWalter氏は述べています。「エクスプロイトの容易さと、これらのサーバーにホストされているデータの潜在的価値により、ToolShellは強力かつ危険な攻撃チェーンとなっています。」

Walter氏によると、SentinelOneはSharePointの脆弱性を標的とした攻撃を観測しており、これはMicrosoftのアドバイザリ公開前の7月17日に発生しました。攻撃は、テクノロジー、製造、重要インフラ、コンサルティングなどの分野の高価値組織を標的としていました。多くの初期攻撃は慎重に標的を絞ったものでしたが、その後の攻撃はより機会主義的な性質を持っています。SentinelOneはこれまでに複数の波にわたる攻撃を観測しています。第1波は7月18日で、脆弱なオンプレミスSharePointシステムにPowerShellベースのバックドアを設置しようとする試みがありました。第2波はCVE-2025-53770の公開後、7月19日に発生し、情報収集を目的とした類似のペイロードを設置しようとするものでした。さらに、新たなSharePoint脆弱性を標的とした別の活動クラスターでは、脆弱なシステムにファイルレスマルウェアツールを配信しようとする試みが確認されています。

「私たちは、あらゆるレベルの脅威アクターがこれらの脆弱性を共有し合っているのを目撃しています」とWalter氏は述べています。「この脆弱性が、ランサムウェアなど金銭目的のアクターに採用されることも十分に予想できます。また、より組織化された悪意あるオペレーションで使用される攻撃フレームワークやツールにも組み込まれるでしょう」と彼は予測しています。彼もまた、脅威アクターがCVE-2025-49704および49706の修正前後のコードベースの違いを特定するためにパッチディフを行った可能性が高いと考えています。これにより、影響を受ける制御や2つの脆弱性に対する同社のパッチをバイパスできたのです。

緩和策のアドバイス

Microsoftの緩和策アドバイスは、ほとんどのベンダーも同様に推奨している通り、影響を受ける組織はCVE-2025-53770および53771のMicrosoftパッチを直ちにインストールすることです。Microsoftはまた、セキュリティチームが脆弱性に関連する悪意ある活動の兆候を検出するために使用できるインジケーターも提供しています。

「ハンティングおよび可視化ガイダンスと併せて、すべての関連するSharePoint/AD認証情報や、ウェブシェルによって漏洩した可能性のあるシステムトークン／シークレットの見直しとローテーションを強く推奨します」とWalter氏はアドバイスしています。「また、外部に公開されているSharePointサービスの制限・削減も推奨します。現時点では、パッチ適用済みサーバーであっても大規模なスキャンの標的となるでしょう。」

Fiore氏は、すべての組織が直ちに資産・インベントリ監査を実施し、脆弱なオンプレミスSharePointインスタンスを特定することを推奨しています。この攻撃チェーンに対する最も効果的な非パッチ緩和策は、Antimalware Scan Interfaceの有効化とマシンキーのローテーションだと彼は付け加えます。「さらに、横方向移動や永続化を緩和するために、エコシステム全体で堅牢な構成が施されていることを確認してください。」