Microsoft SharePointへのゼロデイ攻撃がグローバル規模で進行中：セキュリティニュースアラート

Eye SecurityはMicrosoft SharePointにおけるゼロデイ脆弱性が悪用されていることを確認した。攻撃はSharePointから暗号鍵などを抽出し、リモートコード実行に至るという。既にグローバルにおいて被害が発生している模様だ。

[後藤大地，有限会社オングス]

　オランダのセキュリティ企業Eye Securityは2025年7月19日（現地時間）、「Microsoft SharePoint」（以下、SharePoint）のゼロデイ脆弱（ぜいじゃく）性「CVE-2025-53770」と「CVE-2025-53771」が悪用されていると発表した。脆弱性はSharePointのオンプレミスサーバに影響し、グローバル規模での大規模な侵害が発生している。

SharePointのゼロデイ脆弱性を悪用する攻撃　実環境で既に確認

　この脆弱性チェーンはバグバウンティイベント「Pwn2Own Berlin 2025」で発表された2件の脆弱性「CVE-2025-49706」と「CVE-2025-49704」を悪用した「ToolShell」と呼ばれる攻撃手法に基づいている。これらは当初、PoC（概念実証）レベルのリスクとされていたが、Eye Securityは実際にこの脆弱性チェーンが武器化され、実際の環境で悪用されていることを確認している。

　Microsoftは当初、2025年7月の月例パッチで「CVE-2025-49704」「CVE-2025-49706」への修正を提供していた。しかしこれらの脆弱性に対し、新たな変種が確認されていることを受け、Microsoftがこれらを「CVE-2025-53770」および「CVE-2025-53771」として新たに割り当て、修正を公開した。これにより、旧CVEと新CVEは攻撃チェーンとしては同一だが、修正内容が強化されている。

　Eye Securityの検知チームは、ある顧客の「CrowdStrike Falcon EDR」からのアラートにより、SharePointサーバに悪意ある「.aspx」ファイルを通じた不審なプロセスチェーンを発見した。当初はADFS連携を悪用した資格情報ベースの侵入と見られたが、認証ログが存在しない点やIISログにユーザー名が記録されていないことから、認証を経ずに侵入されていたことが判明した。

　解析したペイロード「spinstall0.aspx」は単なるWebシェルではなく、SharePointサーバから暗号鍵などの秘密情報を抽出する役割を担っていた。このファイルは.NETの処理により、ファイルシステムに作成されていた。機密情報は後続の署名偽造や認証トークン生成に利用され、最終的にリモートコード実行（RCE）へとつながっていた。

　Eye Securityは影響を受ける可能性がある企業に対し、Microsoftが公開した修正パッチの迅速な適用、過去の侵害兆候に関するログ調査を推奨している。SharePointを運用中の組織はIISログ情報やプロセス履歴、Webシェルの痕跡（例：spinstall0.aspxの有無）などを確認し、不審な挙動がないかどうかを検査することが求められる。