CVE-2025-53770の検出：Microsoft SharePointのゼロデイ脆弱性がRCE攻撃に悪用中

この夏、Microsoft製品を標的とした重大な脆弱性の急増が確認されました。Windowsに存在する新たなリモートコード実行（RCE）の脆弱性、CVE-2025-33053は、APTグループ「Stealth Falcon」によって積極的に悪用されています。同時に、EchoLeak（CVE-2025-32711）と呼ばれる重大な脆弱性がMicrosoft Copilotで発見され、ユーザー操作なしでメール経由のサイレントなデータ漏えいを可能にします。

これらの脅威が記憶に新しい中、注目が集まっているのが、新たな高リスクのゼロデイ脆弱性「ToolShell」です。今回悪用されているCVE-2025-53770は、最近パッチが公開されたSharePointのRCE脆弱性（CVE-2025-49704）の亜種であり、攻撃者はオンプレミスのSharePointサーバーにバックドアを仕掛け、セキュリティキーを抽出することでシステム全体を制御可能な状態にしています。

CVE-2025-53770の悪用を検出するには

全世界で14億台以上のデバイスがWindowsによって稼働しており、そのエコシステムは現代のデジタル社会の中核を担っています。2025年のBeyondTrust Microsoft Vulnerabilities Reportによると、2024年には過去最多となる1,360件の脆弱性が公開され、前年比11%の増加を記録しました。この傾向は攻撃対象領域の拡大と、組織が絶え間なく進化する脅威環境に迅速に適応する必要性を強調しています。

SOC Prime Platform に登録し、CVE-2025-53770の悪用試行に対応したリアルタイム脅威インテリジェンスおよび検出アルゴリズムにアクセスしましょう。同プラットフォームでは、AI活用の検出エンジニアリング、自動化された脅威ハンティング、高度な脅威検出を支援する包括的な製品群を提供しています。

検出ルールを確認

脆弱性の悪用に対応する検出コンテンツをさらに探すには、Threat Detection Marketplaceで「CVE」タグで検索してください。

すべての検出コンテンツは、複数のSIEM、EDR、データレイク製品に対応しており、MITRE ATT&CKフレームワークに準拠しています。SOC Prime Platformは、CTIリンク、攻撃タイムライン、監査設定、トリアージ推奨事項などの文脈情報を備えた高品質な検出コンテンツを提供します。

セキュリティエンジニアは、Uncoder AIを活用することもできます。これは、脅威インテリジェンスに基づいた検出エンジニアリング向けに設計された、非エージェント型のAIツールです。IOCをハンティングクエリに変換し、脅威レポートから検出ルールを生成し、ATT&CKタグを自動で予測し、クエリ最適化や多プラットフォームへの変換が可能です。

CVE-2025-53770 脆弱性分析

Microsoft SharePointに存在する2件の重大なゼロデイ脆弱性（CVE-2025-53770およびCVE-2025-53771）は、少なくとも7月18日から実際の攻撃で悪用されており、公式パッチが未提供のまま、世界中で85台以上のサーバーに影響しています。

CVE-2025-53770は、CVSSスコア9.8を持つ極めて深刻な脆弱性で、Microsoftが2025年7月のPatch Tuesdayで対処したCVE-2025-49704（コードインジェクションおよびRCE脆弱性）の亜種と見なされています。「ToolShell」と名付けられたこの攻撃では、攻撃者が認証なしにSharePointのシステムへアクセスし、ファイル、設定情報を含む全データにRCEを通じてアクセス可能になります。

この脆弱性は、オンプレミスのSharePointでの不正なデータのデシリアライズに起因しており、ネットワーク越しに認証されていない攻撃者がRCEを実行できる可能性があります。攻撃後は信頼されたペイロードを偽装し、持続的なアクセスや横展開を正規のSharePoint操作に見せかけて行うことが可能になります。

Microsoftは、顧客向けガイダンスで、攻撃者がオンプレミスのSharePoint Serverの脆弱性を積極的に悪用していることを確認しています。これらの脆弱性はSharePoint Online（Microsoft 365）には影響せず、オンプレミス環境のみが対象です。

SharePoint Subscription EditionおよびSharePoint Server 2019向けにセキュリティアップデートが公開されており、Microsoftは即時の適用を推奨しています。将来的に完全な修正を公開予定であり、現在はテスト段階にあります。

恒久的なパッチが公開されるまでの間、MicrosoftはAMSI統合の有効化、およびMicrosoft Defender Antivirusの導入を強く推奨しています。AMSIが有効にできない場合、SharePointサーバーをインターネットから切断することが推奨されます。

2025年7月20日、CISAはCVE-2025-53770の悪用を確認したアラートを発出しました。CISAは、以下のような対策を推奨しています：
– /ToolPane.aspx?DisplayMode=Edit への不審なPOSTリクエストを監視
– 次のIPアドレスをスキャン：107.191.58[.]76、104.238.159[.]149、96.9.125[.]147
– IPS/WAFルールの更新
– 詳細なイベントログの有効化
– レイアウト・管理者権限の最小化

CISAはMicrosoftと迅速に連携し、対策の通知と調整を行いました。本件は、研究者、ベンダー、政府機関間の連携が国家・社会インフラの保護においていかに重要かを示す事例です。

国家、企業、研究者の連携による集団的なサイバー防衛こそが、高度化する攻撃者に対抗する鍵です。リアルタイムの脅威インテリジェンス、AI、ゼロトラストに基づくSOC Prime Platformを活用すれば、ゼロデイや重大脆弱性を用いた脅威にも先回りして対抗できる堅牢な体制を構築できます。