はじめに
ISMGの報道によると、
約150の異なる組織のオンプレミスSharePointサーバーが、現在ToolShellとして追跡されているゼロデイ脆弱性を狙う攻撃者により悪用されました。初期の攻撃は中国と関連するグループによるものとされ、場合によってはWarlockランサムウェア感染につながっています。
Resecurityは、Microsoftの公式アドバイザリに先立つ2025年7月17日という早い時期に、実環境での悪用活動を観測しました。攻撃者はこの脆弱性を、以前にパッチが提供されていた欠陥であるCVE-2025-49704およびCVE-2025-49706と連鎖させており、これらはいずれも7月8日のPatch Tuesdayリリースで対処され、7月14日までに公開PoCコードが出現していました。
技術的な悪用に加え、Microsoftは攻撃を2つの中国の国家支援アクターとして命名されたLinen TyphoonおよびViolet Typhoonに帰属させました。さらに、別の中国系脅威アクターであるStorm-2603も、活発な悪用に関与しているとされています。これらのグループはインターネットに露出したSharePointサーバーを標的としており、政府機関、重要インフラ、大学、民間企業など、世界中の幅広い分野で侵害が確認されています。
MAPPからの漏えい?
Microsoftが今月リリースしたセキュリティパッチは、米国のテック大手のSharePointサーバーソフトウェアにおける重大な欠陥を完全には修正できず、世界規模の大規模なサイバー諜報活動への扉を開く結果となりました。Microsoftは、同社のMicrosoft Active Protections Program(MAPP)—サイバーセキュリティパートナー向けの早期警戒システム—からの漏えいが、中国のハッカーにSharePointサーバーソフトウェアの未パッチ脆弱性を悪用させた可能性があるかどうかを調査しています。Microsoftは「当社はすべてのパートナープログラムの有効性とセキュリティを継続的に評価し、必要に応じて必要な改善を行っている」と確認しました。
SharePointの脆弱性は、ベトナムのセキュリティ研究者Dinh Ho Anh Khoa が、Trend MicroのZero Day Initiativeが主催するベルリンのPwn2Ownサイバーセキュリティ会議で5月に実演したことで初めて明るみに出ました。Khoaには10万ドルが授与され、Microsoftは7月に初回パッチを発行しました。しかし、Trend Microで脅威認知の責任者を務めるDustin Childsは、MAPPパートナーには3回に分けて脆弱性が通知されていたと述べています—6月24日、7月3日、7月7日です。偶然にも、Microsoftは最初の悪用試行が7月7日に始まったと指摘しました。
Childsは、最も可能性の高いシナリオとして「MAPPプログラム内の誰かがその情報を使ってエクスプロイトを作成した」と示唆しました。
彼は特定のベンダー名は挙げなかったものの、悪用試行の発信元は主に中国であり、漏えいがその地域の企業から発生したと「推測するのは合理的」だと述べました。
2008年に開始されたMAPPプログラムは、セキュリティベンダーに対し、脆弱性の技術的詳細—場合によってはサンプルの概念実証(PoC)コード—を事前に通知し、顧客をより適切に保護できるようにすることを目的としていました。いま漏えいが起きたとすれば、それはプログラムの使命—攻撃者ではなく防御側を強化する—に真っ向から反するものです。Microsoftは漏えい元を特定したかどうかを明らかにしていませんが、NDA違反は重大に扱うと強調しました。
活発な悪用の発信源
業界が攻撃の構造理解に注力する一方で、ResecurityのHUNTERチームは、非常に早い段階から、これを悪用するアクターに関連するネットワークインフラを調査していました。ネットワークのパッシブセンサーを活用して関連テレメトリを収集し、この悪意ある活動の発信源を再現するためです。なぜ重要なのでしょうか。第一に注目すべき点として、アクターは複数プロバイダーのクラウドインフラを、複数国にまたがって(米国、ブラジル、ドイツ、インド、香港、ルーマニア、オランダ、台湾、日本、ベトナム、韓国などを含むがこれらに限らない)悪用することに成功していました。
|
IP |
初回観測 |
詳細 |
|
|
2025-07-17 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-18 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-19 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-21 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-22 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-22 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-22 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-22 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-22 |
SharePoint脆弱性を悪用していたIPアドレス |
|
|
2025-07-22 |
SharePoint脆弱性を悪用していたIPアドレス |
2025年7月17日 – IP 96.9.125[.]147
が、悪用試行を生成していたホストの1つとして検出されました。この活動が脅威アクターに関連するのか、あるいはセキュリティ研究者の可能性があるのかは不明です。状況は、悪用が他地域のIPアドレスを巻き込む大規模作戦へと移行したことで、より明確になりました。
この初期波は、PowerShellベースのペイロード配信を伴うもので、Resecurityにより2025年7月18日(14:54–18:44 GMT)頃に、107.191.58[.]76を発信源として記録されました。この活動が従来と異なる最大の特徴は、実際の悪性コード、すなわちWindows環境向けに設計されたASPベースのWebシェルを投下している点です。base64エンコードされたブロブがデコードされ、SharePointのLAYOUTSディレクトリに書き込まれました:
$base64String = [REDACTED]
$destinationFile = “C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx”
$decodedBytes = [System.Convert]::FromBase64String($base64String)
$decodedContent = [System.Text.Encoding]::UTF8.GetString($decodedBytes)
$decodedContent | Set-Content -Path $destinationFile -ErrorAction Stop
生成されたファイルspinstall0.aspxは、従来型のコマンドWebシェルではなく、偵察および永続化のユーティリティです:
<%@ Import Namespace=”System.Diagnostics” %>
<%@ Import Namespace=”System.IO” %>
このコードは、ValidationKey、DecryptionKey、暗号モード設定を含むホストのMachineKey値を抽出して表示します。これは、負荷分散されたSharePoint環境全体で永続的なアクセスを維持したり、認証トークンを偽造したりしようとする攻撃者にとって極めて重要な情報です。
このIPの何が興味深いのでしょうか?
当社の調査員は、「Constant Company LLC」を、クラウドインフラおよびGPUのレンタルを提供する以下のプロバイダーであると解釈しています:
Constant Company LLCは、クラウドインフラサービスの提供に特化するVultrの親会社です。同社はVultrを運営・管理し、世界中の開発者や企業に対してクラウドコンピューティング、ベアメタル、仮想サーバーのソリューションを提供しています。
注目すべきことに、数日後の7月21日および7月22日に、同一プロバイダーを発信源とする、活発な悪用に関与した別のIPアドレス群のクラスターが特定されました。中国の脅威アクターが攻撃の発信源をぼかすために同社のクラウドインフラを悪用していた可能性があります。
107.191.58[.]76
The Constant Company, LLC
2025-07-18
SharePoint脆弱性を悪用していたIPアドレス。
64.176.50[.]109
The Constant Company, LLC
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス。
149.28.17[.]188
The Constant Company, LLC
2025-07-22
SharePoint脆弱性を悪用していたIPアドレス。
およそ12時間後の2025年7月19日(03:06–07:59 GMT)、第2波はほぼ同一のロジックを用いて、同じspinstall0.aspxペイロードを104.238.159[.]149から配信しました。主な違いはPowerShellのステージングスクリプトにありました:
$b = [REDACTED]
$c = “C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS\spinstall0.aspx”
$d = [System.Convert]::FromBase64String($b)
$e = [System.Text.Encoding]::UTF8.GetString($d)
$e | Set-Content -Path $c -ErrorAction Stop
Start-Sleep -s 3
エンコードされたペイロードは形式上わずかに異なるものの、デコードすると同じspinstall0.aspxシェルになりました。ターゲットディレクトリが16\TEMPLATEから15\TEMPLATEへ変更されている点は、異なるSharePointバージョンや環境でのテストを反映している可能性があります。このキャンペーンで観測されたより対話的なWebシェルとは異なり、spinstall0.aspxはコマンド実行やファイルアップロードをサポートしません。代わりに、その唯一の目的は情報収集、特にSharePointインスタンス間で認証またはセッショントークンを偽造するために再利用され得る暗号学的秘密情報の取得であるように見えます。このシェルが収集するMachineKeyデータの独自性と戦略的価値を踏まえ、当社はこのクラスターを、高価値なSharePoint展開に対して耐久性のあるアクセスを確立するための、より広範な取り組みの一部であると評価します。
悪用の試みは3つの異なるIPアドレス—104.238.159[.]149、107.191.58[.]76、96.9.125[.]147—から発生しており、そのうち1つは、Ivanti Endpoint Manager Mobile(EPMM)アプライアンスにおけるセキュリティ欠陥の武器化(CVE-2025-4427およびCVE-2025-4428)に以前関連付けられていました。
注目すべきことに、96.9.125[.]147は、悪用活動が始まったのと同時期である7月18日頃に登録されたドメイン名「dynastyjusticecollective.site」にもマッピングされていました:
WHOIS:
Domain Name: DYNASTYJUSTICECOLLECTIVE.SITE Registry Domain ID: D570923706-CNIC Registrar WHOIS Server: whois.namecheap.com Registrar URL: <a href="https://namecheap.com" rel="nofollow">https://namecheap.com</a> Updated Date: 2025-07-18T06:55:55.0Z Creation Date: 2025-07-18T06:55:51.0Z Registry Expiry Date: 2026-07-18T23:59:59.0Z Registrar: Namecheap Registrar IANA ID: 1068 Domain Status: serverTransferProhibited <a href="https://icann.org/epp#serverTransferProhibited" rel="nofollow">https://icann.org/epp#serverTransferProhibited</a> Domain Status: clientTransferProhibited <a href="https://icann.org/epp#clientTransferProhibited" rel="nofollow">https://icann.org/epp#clientTransferProhibited</a> Name Server: DNS1.REGISTRAR-SERVERS.COM Name Server: DNS2.REGISTRAR-SERVERS.COM DNSSEC: unsigned Registrar Abuse Contact Email: [email protected] Registrar Abuse Contact Phone: +1.9854014545
その後、脅威アクターは新たなIPアドレス群へ移行しました:
83.136.182[.]237
Alina Gatsaniuk
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス。
2.56.190[.]139
Alina Gatsaniuk
2025-07-22
SharePoint脆弱性を悪用していたIPアドレス。
より深い調査により、このネットワークホストが、英国拠点の接続性、クラウドホスティング、専用サーバープロバイダーであるCloudviderに関連している可能性が示されるかもしれません。公開情報によれば、Alina Gatsaniukという名前は、以前NordVPNおよびその関連インフラと関連付けられていました。アクターが活発な悪用の際にVPNサービスを利用した、または各種サードパーティプロバイダーを通じてサーバーをレンタルした可能性があります。
特定されたIPは、パナマで登録されたPackethubという、比較的目立たないプロファイルのサードパーティプロバイダーの1つに関連しています:
inetnum: 2.56.190.0 – 2.56.190.255
netname: PACKETHUB-20210602-DAL
descr: PACKETHUB-20210602-DAL
country: US
admin-c: AG25975-RIPE
tech-c: AG25975-RIPE
status: ASSIGNED PA
org: ORG-PS433-RIPE
mnt-by: CLOUVIDER-MNT
mnt-lower: CLOUVIDER-MNT
mnt-domains: CLOUVIDER-MNT
mnt-routes: CLOUVIDER-MNT
created: 2021-06-02T07:56:21Z
last-modified: 2021-10-28T10:52:58Z
source: RIPE
organisation: ORG-PS433-RIPE
org-name: Packethub S.A.
descr: Packethub S.A.
org-type: OTHER
address:
Packethub S.A., Office 76, Plaza 2000, 50 Street and Marbella,
Bella Vista, Panama City, 0823, Republic of Panama
abuse-c: PSAD2-RIPE
mnt-ref: CLOUVIDER-MNT
mnt-by: CLOUVIDER-MNT
created: 2021-10-28T10:46:09Z
last-modified: 2021-10-28T10:46:09Z
source: RIPE # Filtered
person: Alina Gatsaniuk
address:
Packethub S.A., Office 76, Plaza 2000, 50 Street and Marbella,
Bella Vista, Panama City, 0823, Republic of Panama
phone: +5078336503
nic-hdl: AG25975-RIPE
mnt-by: CLOUVIDER-MNT
created: 2021-10-28T10:49:40Z
last-modified: 2021-10-28T10:49:40Z
source: RIPE # Filtered
% Information related to ‘2.56.190.0/24AS62240’
route: 2.56.190.0/24
descr: Clouvider Limited
descr: DDOS mitigation route
origin: AS62240
mnt-by: CLOUVIDER-MNT
created: 2019-03-15T14:38:18Z
last-modified: 2019-03-15T14:38:18Z
source: RIPE
NordVPNが、一部サーバーでPacketHubのインフラ(IPアドレスを含む)を利用している可能性があります。つまり、特定のNordVPNサーバーに接続すると、トラフィックがPacketHubから来ているように見える場合があります。複数のネットワークインテリジェンスおよびIPレピュテーションデータベースは、PacketHubのIPアドレスがNordVPNに関連しているとしてフラグを立てています。Resecurityは、NordVPNまたはPackethubが悪意あるサイバー活動に関与しているとは解釈していませんが、そのインフラまたはサービスが攻撃者に悪用された可能性が高いことを示しています。
別の主要クラウドプロバイダーであるDigitalOceanも、活発な悪用の際に悪用されました。このIPには以前、主にインドの企業や人物に関連する複数のドメイン名がマッピングされていました。脅威アクターがこれを悪用した、ホストを侵害した、またはスキャン実施のために自らVPSを登録した可能性があります。
139.59.11[.]66
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス
45.191.66[.]77
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス
45.191.66[.]77 – viaclip.com.brは、ブラジルの企業であるVIACLIP INTERNET E TELECOMUNICAÇÕES LTDAに関連しており、同社はインターネットサービスプロバイダー(ISP)および通信事業者として運営されています。同社は小規模なBGP(Border Gateway Protocol)ネットワークを管理し、ブラジルでインターネットおよび通信サービスを提供しています。
欧州やアジア太平洋地域のホストを含む他のスキャン用IPアドレスにより、不正アクターは攻撃の発信源を隠蔽できました。中国のアクターが他国の通信インフラを悪用し、第三者経由で悪意あるサイバー活動を行う場合、このような戦術は想定されます。
クラウドサービスの特性上、この活動の地理的解像度は曖昧になり得ます。ある法域で登録されたプロバイダーが、他の場所に複数のレンタルまたはリースされたネットワークを持つ場合があり、攻撃元の解釈を誤らせる可能性があります。
例えば、攻撃者が使用したと特定されたホストの一部は日本から発信しているように見えましたが、実際には米国拠点のクラウドサービスプロバイダーに紐づいていました。
64.176.50[.]109
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス
149.28.17[.]188
2025-07-22
SharePoint脆弱性を悪用していたIPアドレス
162.248.74[.]92
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス
中国のアクターは、悪用が中国発であることを示さないインフラを活用しようとした可能性があります。そのため、世界的な展開を持つ中国国外の複数のクラウドプロバイダーを利用していました。
38.54.106[.]11
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス
206.166.251[.]228
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス
このオペレーターのウェブサイトには次のように記載されています:「BL Networksは、インターネット企業にIPアドレスおよび関連サービスを提供します。BL Networksは、特定のIPアドレスを現在または過去に使用している機器および/またはサービスの直接の運用者であるとは限りません」
45.77.155[.]170
2025-07-21
SharePoint脆弱性を悪用していたIPアドレス
173.239.247.32
2025-07-22
SharePoint脆弱性を悪用していたIPアドレス
173.239.247[.]32
– 実際、このIPは米国で運営されるLogicWeb Inc.に紐づいています。これに関連するASネットワークは、オーストラリア拠点のAS137409 GSL Networks Pty Ltd(Global Secure Layer(GSL)としても知られる)に関連しており、IPトランジットサービスを専門とし、DDoS保護を提供しています。利用可能なネットワークインテリジェンスおよびIPレピュテーションデータによれば、このIPはCyberGhost VPNサーバーに関連している可能性があり、サイバー犯罪者が匿名化のために利用することがあります。VPNサービスが第三者からクラウドや専用サーバーを借りるのは一般的であり、この場合、曖昧な地理的解像度により、攻撃がベトナムと何らかの形で関連しているという誤った推測につながる可能性があります。
109.105.193[.]76
2025-07-22
SharePoint脆弱性を悪用していたIPアドレス
109.105.193[.]76
– 曖昧な解像度の別の良い例として、このIPアドレス情報は、ホストがボスニア拠点の企業(Team Consulting d.o.o. Sarajevo)により管理されている可能性を示しています。
実際、このIPブロックは、Cenuta Dedicated ServersのIPサブネット(109.105.193.0/24)に関連するHaruka Hosting Ltdに紐づいています。Resecurityによれば、「Haruka Hosting Ltd」は、英国に法的実体を持ち、GAO, Lingyu(中国籍)名義で登録された、あまり知られていないクラウドプロバイダーとして特定されています。
124.56.42[.]75
2025-07-22
SharePoint脆弱性を悪用していたIPアドレス
124.56.42[.]75
– このホストは、韓国のLG POWERCOMMが提供するインターネットサービス「Xpeed」に紐づいています。具体的には、LG POWERCOMMは「Xpeed Optic LAN」サービスを強化し、集合住宅のインターネット回線を100 Mbpsから1 Gbpsへアップグレードしました。
141.164.60[.]10
2025-07-22
SharePoint脆弱性を悪用していたIPアドレス
Resecurityは、時間経過に伴う悪用活動を分析し、関与した発信源を地理およびISPを考慮してマッピングしました。この分析により、悪用されたクラウドサービスプロバイダーが優勢であるなど、一定のパターンが明らかになりました:
|
IP |
2025-07-17 |
2025-07-18 |
2025-07-19 |
2025-07-21 |
2025-07-22 |
|
96.9.125.147 |
BL (ルーマニア) |
||||
|
107.191.58.76 |
The (米国) |
||||
|
104.238.159.149 |
The (ドイツ) |
||||
|
139.59.11.66 |
DigitalOcean (インド) |
||||
|
154.223.19.106 |
Kaopu (香港) |
||||
|
103.151.172.92 |
IKUUU (香港) |
||||
|
45.191.66.77 |
ISP (ブラジル) |
||||
|
83.136.182.237 |
Packethub (米国) NordVPN |
||||
|
162.248.74.92 |
Fiber (オランダ) |
||||
|
38.54.106.11 |
Kaopu (台湾) |
||||
|
206.166.251.228 |
BL (オランダ) |
||||
|
45.77.155.170 |
Vultr (米国) |
||||
|
64.176.50.109 |
The (日本) |
||||
|
149.28.17.188 |
The (日本) |
||||
|
173.239.247.32 |
LogicWeb Inc (米国) CyberGhost VPN |
||||
|
109.105.193.76 |
Haruka (香港、法的実体は英国) |
||||
|
2.56.190.139 |
Clouvider (英国) NordVPN |
||||
|
141.164.60.10 |
The (韓国) |
||||
|
124.56.42.75 |
LG (韓国) |
通信事業者およびクラウドサービスの悪用
中国のサイバー脅威アクター(国家支援グループおよびサイバー犯罪者の双方を含む)が、米国拠点および海外の通信事業者を積極的に標的化し、悪用してきたという確かな証拠があります。最も顕著な例の1つが、Salt Typhoon(RedMikeとも呼ばれる)として知られるグループで、米国の通信インフラに対する一連の高度なサイバー攻撃に関与したとされています。
Salt Typhoonのキャンペーン:Salt Typhoonは、Ciscoのエッジデバイスの脆弱性(特にCVE-2023-20198およびCVE-2023-20273)を悪用して、通信ネットワークへの不正アクセスを獲得しました。これらの攻撃は少なくとも8社の米国通信企業に影響し、ハッカーは上級米国政府関係者や政治関係者のテキストや通話を含む私的通信にアクセスできました。これらの侵害は、米国史上、国家支援ハッキンググループによる最も重大な国家安全保障上の侵害の一部と評されています。
合法傍受システムの悪用:Salt Typhoonは、法執行機関の要請に対応するために設計された、米国のインターネットサービスプロバイダーが使用する合法傍受システムにもアクセスしたとされています。このアクセスにより、同グループは私的通信を傍受でき、国家安全保障上の懸念がさらに高まりました。
より広範なキャンペーン:中国の国家支援グループは、Operation Cloud Hopperのようなキャンペーンで見られるように、マネージドサービスプロバイダー(MSP)や通信サービスプロバイダー(TSP)を標的として機微情報へのアクセスを得るという歴史があります。
総称して「ToolShell」と呼ばれる悪用キャンペーン(CVE-2025-49704、CVE-2025-49706、CVE-2025-53770、CVE-2025-53771)において、中国のアクターは、クラウドサービス、仮想/専用サーバーのリセラー、ホスティングプロバイダーの悪用・不正利用を通じて、海外の通信インフラも積極的に活用していました。業界は、顧客確認(KYC)手続きの強化実装を加速し、中国発の国家支援アクターに関連する可能性のある不審な顧客を検出すべきです。
観測された悪用パターン
ペイロードサイズは通常7000~8000+バイト
CompressedDataTableパラメータにURLエンコードされた圧縮データ
特定のUser-Agent文字列:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0)
Content-Type: application/x-www-form-urlencoded
Connection: closeヘッダーがしばしば存在
ペイロード内にBase64エンコードされたシリアライズ済み.NETオブジェクト
応答にパイプ区切り形式のmachine keysが含まれる
配置されたspinstall0.aspxファイルへの二次リクエスト
SharePoint ULSログ
SharePoint Unified Logging Service(ULS)ログで以下を監視:
カテゴリ:SharePoint Foundation Web Controls
レベル:Unexpected、Error、Critical
キーワード:「ToolPane」「ExcelDataSet」「Deserialization」
プロセス:w3wp.exe
ULSログにおける主要指標:
ToolPane.aspx処理中の予期しない例外
Microsoft.PerformancePointコンポーネントでのデシリアライズエラー
w3wp.exeのメモリ破損またはプロセスクラッシュ
IISアクセスログ
悪用パターンについてIISログを監視:
# ログ分析クエリ(SIEMの構文に置き換えてください) cs-method="POST" AND cs-uri-stem="/_layouts/15/ToolPane.aspx" cs-method="POST" AND cs-uri-query="DisplayMode=Edit&a=/ToolPane.aspx" cs-bytes > 7000(典型的なエクスプロイトのペイロードサイズ) cs(User-Agent)="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0" cs(Referer)="/_layouts/SignOut.aspx" sc-status=200 AND time-taken > 5000(デシリアライズを示唆する低速処理)
実際の攻撃から得られた特定のIOC:
POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx Content-Length: 7699 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 Referer: /_layouts/SignOut.aspx Body contains: MSOTlPn_Uri=http%3A%2F%2F[domain]%2F_controltemplates%2F15%2FAclEditor.ascx Body contains: CompressedDataTable%3D%22H4sIAAAAAAAEANVa23LbSJLt3stEzMzu0%2F6AQs%2B2BJCiu%2BWQ
ネットワークトラフィック分析
以下についてネットワークトラフィックを監視:
SharePointサーバーへの異常なPOSTリクエストサイズ
単一の発信元からToolPane.aspxへの繰り返しリクエスト
HTTP POSTボディ内のBase64エンコードされたペイロード
SharePointを狙う非ブラウザのUser-Agent文字列
Windowsイベントログ
SharePointサーバー上のWindowsイベントログを監視:
イベントログ:Application
ソース:ASP.NET、SharePoint Foundation
イベントID:1309、1310(アプリケーションエラー)
イベントログ:System
ソース:Application Error
プロセス:w3wp.exeのクラッシュ
SIEM検知ルール
Splunk検知クエリ:
index=iis source="*iis*" | search cs_method="POST" cs_uri_stem="/_layouts/15/ToolPane.aspx" cs_uri_query="DisplayMode=Edit&a=/ToolPane.aspx" | eval payload_size=tonumber(cs_bytes) | where payload_size > 7000 | search cs_User_Agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0" | stats count by src_ip, cs_uri_stem, payload_size | sort -payload_size
実攻撃向けの強化検知
index=iis | search cs_method="POST" AND cs_uri_stem="/_layouts/15/ToolPane.aspx" | where cs_bytes > 7000 AND cs_bytes < 10000 | search cs_Referer="/_layouts/SignOut.aspx" | eval attack_pattern=if(like(cs_User_Agent, "%Windows NT 10.0; Win64; x64; rv:120.0%"), "CVE-2025-53770", "Other") | where attack_pattern="CVE-2025-53770" | table _time, src_ip, cs_uri_query, cs_bytes, sc_status
Elastic/Kibanaクエリ
{
"query": {
"bool": {
"must": [
{"term": {"http.request.method": "POST"}},
{"term": {"url.path": "/_layouts/15/ToolPane.aspx"}},
{"term": {"url.query": "DisplayMode=Edit&a=/ToolPane.aspx"}},
{"range": {"http.request.bytes": {"gte": 7000, "lte": 10000}}},
{"term": {"user_agent.original": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0"}},
{"term": {"http.request.referrer": "/_layouts/SignOut.aspx"}}
]
}
}
}
CVE-2025-53770向けSigmaルール
title: CVE-2025-53770 SharePoint ExcelDataSet Exploitation
id: cve-2025-53770-sharepoint-exploit
description: CVE-2025-53770 SharePointデシリアライズ脆弱性の悪用試行を検知
references:
- <a href="https://github.com/your-repo/CVE-2025-53770-Scanner" rel="nofollow">https://github.com/your-repo/CVE-2025-53770-Scanner</a>
author: Security Team
date: 2025/07/21
logsource:
category: webserver
product: iis
detection:
selection:
cs-method: 'POST'
cs-uri-stem: '/_layouts/15/ToolPane.aspx'
cs-uri-query: 'DisplayMode=Edit&a=/ToolPane.aspx'
cs-bytes:
- gte: 7000
- lte: 10000
cs-User-Agent: 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0'
cs-Referer: '/_layouts/SignOut.aspx'
condition: selection
falsepositives:
- 正当なSharePoint管理作業
level: high
tags:
- attack.initial_access
- attack.t1190
- cve.2025.53770
参考文献
– SharePointゼロデイが悪用され、Warlockランサムウェアを解き放つ
https://www.databreachtoday.com/sharepoint-zero-days-exploited-to-unleash-warlock-ransomware-a-29073…
– オンプレミスSharePoint脆弱性の活発な悪用の妨害
https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premis…
– 更新:MicrosoftがSharePoint脆弱性の悪用に関するガイダンスを公開
免責事項
本出版物で言及されているすべての第三者製品名、ロゴ、ブランドは、それぞれの所有者の財産であり、識別目的のみに使用されています。これらの名称、ロゴ、ブランドの使用は、当該第三者との提携、推奨、後援、または関連を示唆するものではありません。
