コンテンツにスキップするには Enter キーを押してください

ToolShell攻撃が400台以上のSharePointサーバーを標的に、米政府機関の被害も判明

投稿日 2025年7月24日

最近発生したToolShellゼロデイ攻撃に関する新たな情報が明らかになりました。これには、影響を受けた組織、侵害されたサーバーの数、脆弱性を悪用した脅威アクターに関する情報が含まれています。

ToolShell攻撃のニュースは週末に明らかになり、Microsoftやセキュリティ企業がSharePointのゼロデイ脆弱性が悪用されてサーバーがハッキングされたと警告しました。テクノロジー大手のMicrosoftは、サポート中のSharePointバージョン向けに影響を受けた脆弱性のパッチを急遽リリースしましたが、当初は緩和策のみが提供されており、それらもすでに回避されています。

攻撃に関する最初の公開報告は、7月18日に観測された悪用試行によって引き起こされましたが、Microsoftは7月22日にToolShellの悪用が7月7日から始まっていた証拠を発見したと明らかにしました。これは、研究者が脆弱性の潜在的な影響を警告する約1週間前のことです。

Microsoftは、中国政府支援のサイバースパイ活動グループであるLinen TyphoonとViolet Typhoonによる攻撃を確認しています。

同社はまた、Storm-2603という脅威アクターによる攻撃試行も確認しています。このグループはMicrosoftによって中国と中程度の確信度で関連付けられており、7月18日以降に行われたToolShell攻撃でランサムウェアを展開していることが観測されています。

「Microsoftはこの脅威アクターが過去にWarlockやLockbitランサムウェアを展開していたことを確認していますが、現時点ではこの脅威アクターの目的を自信を持って評価することはできません」と同社は水曜日に述べています。

400台以上のSharePointサーバーが侵害、米政府機関の被害も判明

攻撃を最初に報告したサイバーセキュリティ企業Eye Securityは、水曜日に研究者が23,000台以上のSharePointサーバーをスキャンし、そのうち少なくとも400台が7月17日、18日、19日、21日の4回の攻撃で侵害されたことを明らかにしました。

広告。スクロールして記事の続きをお読みください。

Industrial Cybersecurity Conference

ToolShell攻撃が明るみに出た数日以内に、サイバーセキュリティ企業は米国政府機関も被害者の一部であると報告しました。

複数の大手メディアが、政府機関が標的となったことを関係者から知ったと報じていますが、被害を受けた機関の数は4から十数機関まで幅があります。

一部のメディアは、関係者から得た情報に基づき被害を受けた機関名を公表しています。Nextgovは国土安全保障省(DHS)が被害を受けたと伝え、Bloombergはエネルギー省の国家核安全保障局がToolShell攻撃で侵害されたほか、教育省や一部の州政府機関も被害を受けたと報じています。

ワシントン・ポストは、保健福祉省の国立衛生研究所(NIH)も攻撃を受けたと報じました。

これらの侵害の多くの範囲はまだ調査中ですが、国家核安全保障局は機密情報や分類情報が侵害された証拠は見つかっていないと述べています。

どのSharePoint脆弱性が悪用されたかについては混乱が続く

SharePointゼロデイ攻撃のニュースが流れた際、CVE-2025-53770として追跡されているリモートコード実行の脆弱性が悪用されたと広く報じられました。その後、この脆弱性がなりすましの脆弱性CVE-2025-53771と組み合わせて悪用された可能性があることが明らかになりました。

CVE-2025-53770とCVE-2025-53771は、CVE-2025-49706およびCVE-2025-49704のパッチが回避された結果、Microsoftによって割り当てられたものです。CVE-2025-49706およびCVE-2025-49704は5月のPwn2Ownハッキングコンテストで公開され、Microsoftは7月8日にパッチを提供しました。

Microsoftはブログ記事で、CVE-2025-49706およびCVE-2025-49704の悪用を確認したと述べています。しかし、これらの脆弱性やCVE-2025-53771に関する同社のアドバイザリには、実際の悪用についての記載はありません。

SecurityWeekはMicrosoftや複数のサイバーセキュリティ企業に確認を求めましたが、現時点でWatchTowrのみがCVE-2025-53770とCVE-2025-53771の両方の悪用を確認したと述べています。

Palo Alto Networks、SentinelOne、Google、Trend Micro、CrowdStrikeなどの大手企業の多くは、自社のブログ記事で示唆しているにもかかわらず、CVE-2025-53771の悪用を確認できていません。

Microsoftは明確な説明を拒否していますが、最新のブログ記事では、CVE-2025-53770が認証バイパスとリモートコード実行の両方を可能にするとされており、これがCVE-2025-53771が攻撃に必ずしも必要でない理由を説明している可能性があります。

翻訳元: https://www.securityweek.com/toolshell-attacks-hit-400-sharepoint-servers-us-government-victims-named/

Published in securityweek.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です