タグ: ゼロデイ

投稿日:

緊急パッチ必須:SharePoint「TOOLSHELL」攻撃を招くCVE-2025-53770/53771の実態

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Microsoft SharePointを運用する企業が見過ごせない脆弱性が今月、相次いで公開されました。7月14日に累積パッチで修正されたCVE-2025-53770とCVE-2025-53771は、ViewStateキー生成処理の競合状態を突いて、認証なしのリモートコード実行(RCE)をするクリティカルな脆弱性です。さらに、6月に報告済みのASPXテンプレート挿入系脆弱性CVE-2025-49704/49706を組み合わせた「TOOLSHELL」攻撃チェーンが現実化し、Unit 42とEye Securityは侵入後にPowerShell WebShellが配置される事例を確認しています。本稿では影響範囲と優先すべき対策を解説します。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

なぜCVE-2025-53770が危険なのか

問題の本質は、SharePointが__VIEWSTATEを検証する際に用いるValidationKeyの競合状態にあります。攻撃者は未認証のまま細工したViewStateを送信し、LosFormatterのデシリアライズ処理を経由して任意コードを実行できます。Microsoftは「7月パッチ以前の修正は十分ではなく、今回の累積更新で初めて完全な防御が可能になる」と明言しました。

「TOOLSHELL」攻撃チェーンが示す実戦的リスク

Eye Securityが命名した「TOOLSHELL」攻撃では、まずCVE-2025-49706がRefererヘッダーを悪用してToolPane.aspxへ非認証アクセスを可能にし、続いてCVE-2025-49704がデシリアライズ経路を開きます。ここにCVE-2025-53770とCVE-2025-53771が結合すると、防御側が認証やCSRFトークンに依存していた場合でもRCEが成立します。侵入後はPowerShellでWebShell(spinstall0.aspxなど)が配置され、MachineKeyを窃取して永続化を図る点が確認されています。

CISAの緊急指令と企業が取るべきステップ

米国CISAは53770をKnown Exploited Vulnerabilitiesカタログに追加し、7月31日までのパッチ適用を連邦機関に義務付けました。官民問わず、以下のようなステップで対策を進めましょう。

  • SharePoint Server 2016/2019/Subscription Editionで最新の7月累積パッチを適用
  • 適用後にMachineKey(ValidationKey/DecryptionKey)を再生成し、漏えい済みの署名を無効化
  • Microsoft Defender AntivirusとのAMSI統合と「ViewState暗号キー管理」機能を有効化し、未署名ViewStateの読み込みを防ぐ
  • 管理ポートや/_layouts/配下を外部公開している場合は即時閉鎖し、Web Application FirewallやHIPSでUploadFilterを強制

残る課題―公開PoCと横展開

GitHub上には既に53770の概念実証コードが複数公開されており、Rapid7も実環境での悪用を観測したと報告しました。パッチを当ててもMachineKeyのローテーションを怠れば、攻撃者は署名済みの__VIEWSTATEを再利用して“再侵入”できます。特にTeamsやOneDriveと連携したハイブリッド環境では、SharePointから取得した認証トークンが横展開に利用されかねません。

まとめ

サイト運営者は最新パッチ情報を迅速に発信しつつ、自社環境の防御態勢を見直す必要があります。累積更新プログラムの適用とキー再生成を完了して初めて、SharePointは安全な状態に戻ります。多くの組織が抱えるオンプレミスSharePointは依然として攻撃者にとって魅力的な標的であり、今回の一連のゼロデイは“パッチ管理とキー運用の両立”という運用課題を改めて突きつけたといえるでしょう。

【参考情報】

  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49706
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49704
  • https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
  • https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-2019-july-8-2025-kb5002741-d860f51b-fcdf-41e4-89de-9ce487c06548
  • https://research.eye.security/sharepoint-under-siege/
  • https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt
  • https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog

    • Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    IPA情報セキュリティ10大脅威にみるセキュリティリスク―内在する脆弱性を悪用したゼロデイ攻撃とは―

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバー空間と「ゼロデイ攻撃」「Log4j」のイメージ図

    修正パッチが公開される前に、パッチ未適用な状態のソフトウェアやアプリの脆弱性を悪用するゼロデイ攻撃。その脆弱性の数は2021年の年間で前年比約2倍というデータもあることから、警戒が必要になってきています。ゼロデイ攻撃は完全に防ぎきることはできませんが、いまできうる対策としてはどのようなものがあるのでしょうか。本記事では、ゼロデイ攻撃の概要と直近のApache Log4jの脆弱性について紹介しつつ、最善策としてとりうる備えと対策についてご案内いたします。

    「情報セキュリティ10大脅威 2022」に
    新たに「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がランクイン

    2022年1月27日、独立行政法人情報処理推進機構(IPA)は毎年発表している「情報セキュリティ10大脅威」の2022年版を発表しました。そのうち、「組織」における脅威の注目すべき点として、昨年8位だった「インターネット上のサービスへの不正ログイン」に替わるかたちで、新たに「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が7位にランクインしていることがあげられます。

    IPA情報セキュリティ10大脅威(組織編)
    出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2022
    (2022年8月29日)組織向け脅威
    ゼロデイ攻撃の増加(グラフ)
    出典:ZER0-DAY.cz tracking project「Zero-day vulnerability 2006-2022(comparison)

    ゼロデイ攻撃
    修正プログラムが提供される前の、修正パッチ未適用なソフトウェアやアプリの脆弱性(ゼロデイ脆弱性)を悪用した攻撃。2021年は前年と比較して、ゼロデイ脆弱性が約2倍に増加したとするデータもあり、警戒が必要である。ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要となる*1

    Apache Log4jの脆弱性

    特にインパクトが大きかった修正パッチ未適用の脆弱性として、2021年末に話題となったApache Log4jの脆弱性(Log4Shell)があります。常に新しい攻撃手法を探求し続けている攻撃者たちは、すぐにこの重大な脆弱性を悪用し始めました。そして、12月から1月にかけて、Log4Shellを悪用した攻撃として、仮想通貨採掘マルウェアや「Mirai」などのボットネットやバックドアでの悪用、さらには「Conti」などのランサムウェアグループによる攻撃転用が確認されています。

    Log4Shellの脆弱性概要説明(リスク・影響度・対象製品等)

    Log4Shell
    Javaのログ出力ライブラリであるApache Log4jの深刻な脆弱性。悪用された場合、任意のコードをリモートから実行される恐れがある。すでに世界中で大規模な脅威を及ぼしており、IPA等からもアラートが発表されている。Apache Log4jは広く使われているJavaのログ出力ライブラリであるため、本脆弱性は影響範囲が非常に大きいことが特徴となる。Javaの普及度合いについて情報セキュリティ会社の米Cybereasonは「Apacheソフトウェア財団製プログラムは世界のWebサーバの3分の1が使っている」*2としている。

    Log4Shellへの備え
    Log4Shellの影響範囲は非常に広いため、2013年以降にリリースされているシステムやソフトウェアなどでJavaを利用している場合は、影響を受けている可能性を前提に対応することが望まれる。影響を受ける製品情報についてはNCSC-NL(オランダ国家サイバーセキュリティセンター)が、GitHubに影響有無を公開しているので、それを参考にするのも有効である。またLog4Shell関連の情報は変化が早いことも特徴である。今日対応できていたものが、明日には対応できていない可能性もあるため、しばらくのあいだ情報収集を欠かさず、影響を受ける製品を使用している場合は、ベンダ情報にしたがってアップデートやワークアラウンドを実施するなどの対策が必要である。情報収集の際には、最新情報をベンダやJPCERT/CC等の信頼できる機関のソースを参照してもらいたい。

    Log4Shellを悪用したマルウェアによる攻撃事例

    ① 仮想通貨マイナーをインストールするマルウェア「Kinsing」による攻撃
      PCにインストールされてしまうと、個人情報を盗み取られるだけでなく、
      CPUやメモリの計算リソースを勝手に使い込まれ、端末の処理速度を低下させ、
      最終的に故障させてしまう恐れがある *3
    ② 新たなランサムウェアファミリー「Khonsari」による攻撃
      WindowsのCドライブを除くすべてのファイルが暗号化され、開封しようとすると、
      身代金支払い要求の記載されたメモ帳が開かれてしまう*4
    ③ ランサムウェアファミリー「Conti」による攻撃
      VMware vCenter Server標的にした攻撃において、初期アクセスで侵入されたのち、
      Log4shellによって、ネットワーク上でランサムウェアを横展開されてしまう*5

    ゼロデイ攻撃への対策と備え

    サイバー攻撃は近年ますます洗練化・巧妙化しています。また、それに応じて日々新たな脆弱性が発見されており、いつ・だれが攻撃のターゲットになってもおかしくありません。そんな中、増加の兆しを見せているゼロデイ脆弱性を悪用した攻撃は、内在する脆弱性を狙った攻撃のため、実際に攻撃され、インシデントが起こってからでないと自組織のシステムが攻撃されていること自体に気づきにくいという特性があります。

    では、この攻撃による被害を未然に防ぐために、どのような対策をとればいいのでしょうか。重要なポイントは、「自システムの状態を知り、必要な対策をとる」ということです。ゼロデイ攻撃は完全に防ぎきることは難しい攻撃です。しかし、事前に対策することで、被害をあってしまった場合の被害を小さくすることは可能です。これにはまず、基本的なセキュリティ対策の実施をすることが前提となります。脆弱性の最新情報を収集し、セキュリティ更新プログラムのアップデートを行うことをはじめ、マルウェア対策にはEDR(Endpoint Detection and Response)による監視も推奨されます。組織の端末を24時間365日体制で監視し、インシデント発生時の初動対応まで実施できるようにしましょう。そのうえで、原因や侵入経路、被害状況などを把握することで、実際に被害にあってしまった場合でも、被害を最小限にすることが可能となります。

    Webサイトの脆弱性対策について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
    中小企業がサイバー攻撃の標的に!Webサイトのセキュリティ対策の重要性 ―個人情報保護法改正のポイント―

    Log4Shellなどの深刻な脆弱性を検知するためには、企業等が提供する脆弱性スキャンツールを使用し、リスクを可視化することも重要です。また、安全性を維持するために定期的に診断を実施することも考え方の一つです。これにより、日々変化する脅威に対するシステムのセキュリティ状態を確認できるため、適時、適切な対策を実施することが可能となります。信頼できるセキュリティベンダ・専門家のサポートを検討するとよいでしょう。

    BBSecでは

    当社では以下のようなご支援が可能です。

    脆弱性を悪用した攻撃への備え~自システムの状態を知る

    本記事で紹介した「Log4Shell」のような脆弱性は日々新しい脆弱性や関連するアップデートが確認されています。こうした状況の備えとして、BBSecが提供する、デイリー自動脆弱性診断「Cracker Probing-Eyes®」では、シグネチャの見直しを弊社エンジニアが定期的に行っており、ツール診断による脆弱性の検出結果を、お客様側での簡単な操作で、日々確認、即時に適切な対応をすることが可能になります。新規設備投資不要で、コスト削減にもつながります。

    CPEサービスバナー

    弊社診断エンジニアによる、より広範囲で網羅的な診断を検討している方は、手動で診断する、「SQAT®脆弱性診断サービス」がおすすめです。

    セキュリティ診断サービスバナー

    攻撃を受けてしまった場合の対策の有効性の確認

    完全に防ぎきることは難しくても、「攻撃・侵入される前提の取り組み」を行うことで、攻撃を受けてしまった場合にも被害を最小化する対策をする、「多層防御」が重要です。詳しくは「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」をご確認ください。

    SQAT® ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア対策総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

    ペネトレーションテストサービスバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像