搾取の試みに関するデータが更新されました。

更新 2025-07-22、12:37 UTC: エクスプロイト後の活動に関する追加の詳細がブログに反映されました。

更新 2025-07-21、10:40 UTC: 追加の侵害の兆候 (IOC) を含めてブログが更新されました。

Microsoftは、SharePointのゼロデイ脆弱性が悪用されているとの報告を受け、部分的な修正プログラムを公開しました。ToolShellと呼ばれるこの脆弱性（CVE-2025-53770）は、オンプレミスのSharePointサーバーに影響を与え、脆弱なサーバーに対する攻撃者の認証されていないアクセスを許可することで、リモートからコードを実行し、すべてのコンテンツとファイルシステムにアクセスできるようになります。SharePoint Server 2019およびSharePoint Server Subscription Editionには修正プログラムが公開されていますが、2016バージョンには未だ修正プログラムが公開されていません。

マイクロソフトは、この脆弱性に関するガイダンスの中で、「オンプレミスのSharePoint Serverの顧客を標的とした攻撃が活発化していることを認識している」と述べています。ただし、これらの攻撃の背後にいる攻撃者については、これ以上の情報は提供していません。

この新たなゼロデイ脆弱性は、2025 年 7 月に修正された脆弱性CVE-2025-49704の亜種です。

保護

シマンテック製品はすでに、次のネットワーク保護によりこの脆弱性の悪用をブロックしています: Web 攻撃: Microsoft SharePoint CVE-2025-49704。

関連する脆弱性

関連する2つ目の脆弱性（ CVE-2025-53771 ）も修正されました。これはパストラバーサルのバグであり、権限のある攻撃者がネットワーク上でなりすましを行うことが可能です。これも最近修正された脆弱性（ CVE-2025-49706 ）の亜種であり、今回の修正には、古い脆弱性の悪用への対応より強力な保護が含まれています。

搾取後の活動

エクスプロイト後の活動が行われたネットワークでは、攻撃者はまずエンコードされたPowerShellコマンドを実行しました。その後、 Certutilを使用して、134.199.202[.]205からclient.exe（SHA256: fd03d881f0b3069f5adec6ae69181899e72fd27b3e75bb9075d0798ed3184274）というファイルをダウンロードし、debug.jsというファイルとして保存しました。

PowerShell は、コマンドを渡すために使用される –value パラメータを使用して、以下のようにコマンドを実行するために使用されました。

実行ファイルは、一見無害に見えるようにし、かつ、疑惑を避けるため、 debug.js という名前に変更されたと考えられます。その後、c:\\temp\\test.bat にある以下のバッチファイルが実行されました。

この実行可能ファイルは、次のファイルの実行にも使用されました。

• powershell.exe
• タスクリスト.exe
• ipconfig.exe
• net.exe
• nltest.exe
• システム情報
• バックアップ.exe
• arp.exe

Backup.exeはWinRARの名前を変更した亜種です。暗号の秘密を盗むために使用されました。

さらに、 Certutil はagent.x64.exe (SHA256: 04f7326c40c33fda51010d067915a1e50b63e00b4ab86db00158d5e067a78ff6) というファイルのダウンロードにも使用されました。このファイルは project1.exe (SHA 256: 430cf700c7f1b625fded4da4084a0a6c0240b15d52e624a2361bc2512ca2355d)というファイルの起動にも使用されました。

緩和とガイダンス

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、SharePoint を最新バージョンにすぐに更新することに加えて、次の目的で POST を監視することをユーザーに推奨しています。

特に2025年7月18日から19日の間に、107.191.58[.]76、104.238.159[.]149、96.9.125[.]147のIPアドレスのスキャンを実行することも推奨されます。

保護/緩和

ネットワーク保護

Web 攻撃: Microsoft SharePoint CVE-2025-49704

最新の保護アップデートについては、 Symantec Protection Bulletin をご覧ください。

侵害の兆候

IOC が悪質であり、そのファイルが入手可能な場合、Symantec Endpoint 製品はそのファイルを検出してブロックします。

fd03d881f0b3069f5adec6ae69181899e72fd27b3e75bb9075d0798ed3184274

04f7326c40c33fda51010d067915a1e50b63e00b4ab86db00158d5e067a78ff6

430cf700c7f1b625fded4da4084a0a6c0240b15d52e624a2361bc2512ca2355d

107.191.58[.]76

104.238.159[.]149

96.9.125[.]147

103.186.30[.]186

108.162.221[.]103

128.49.100[.]57

154.47.29[.]4

162.158.14[.]149

162.158.14[.]86

162.158.19[.]169

162.158.90[.]110

162.158.94[.]121

162.158.94[.]72

18.143.202[.]126

18.143.202[.]156

18.143.202[.]185

18.143.202[.]204

45.40.52[.]75

注: IPアドレスは、CVE-2025-53770をスキャンするIPと、CVE-2025-53770を悪用するアクティビティの混合です。