マイクロソフト、攻撃で悪用されたゼロデイ「ToolShell」を修正：CVE-2025-53770

マイクロソフト、SharePoint Serverのハッキングに悪用されたゼロデイ脆弱性「ToolShell」を修正（CVE-2025-53770、CVE-2025-53771）

SecurityWeek – July 21, 2025

マイクロソフトはゼロデイ脆弱性CVE-2025-53770およびCVE-2025-53771を修正するため、SharePoint Serverの緊急アップデートをリリースした。CVE-2025-53770については、脆弱なインスタンスでの悪用が確認されている。

これらの脆弱性は「ToolShell」と呼ばれ、5月のハッキングコンテストPwn2Ownで実演されたCVE-2025-49704とCVE-2025-49706の亜種とされるもの。CVE-2025-49704およびCVE-2025-49706は7月8日リリースのマイクロソフト月例セキュリティ更新プログラムで修正されている。しかしその数日後にはCode Whiteの研究者らが両脆弱性を再現させるエクスプロイトチェーン「ToolShell」を考案し、認証されていない攻撃者による1回のリクエストで実行できることを示していた。これにはのちに新たなCVE識別子CVE-2025-53770およびCVE-2025-53771が採番されており、ヨーロッパのセキュリティ企業Eye Securityによると、CVE-2025-53770については7月18日に悪用開始が確認されていたという。

マイクロソフトも悪用が行われていることを確認し、20日にはSharePoint Subscription EditionとSharePoint 2019、21日にはSharePoint 2016のセキュリティアップデートを発表した。なお、当初の報道ではCVE-2025-53770とCVE-2025-53771が連鎖的に悪用されていることが示唆されていたが、Eye SecurityはCVE-2025-53771（またはCVE-2025-49706）の悪用をまだ確認していないようだ。

いずれにせよ、CVE-2025-53770およびCVE-2025-53771はオンプレミスのSharePoint サーバーにのみ影響し、連鎖的に悪用されると認証されていないリモートコード実行につながる危険性があるという。攻撃者はWebシェルを仕掛け、暗号化されたシークレットを盗み出すことで、侵害されたシステムへの完全なアクセス権を取得したと説明されている。

また、ネット上に露出しているSharePointインスタンスは18日時点で9,000件以上存在し、その大部分が北米とヨーロッパに集中していたとのこと。そのうち脆弱なインスタンスがどれだけあったかはわかっていないものの、日本にも露出したインスタンスが318件存在していたとされる。

米CISAも7月20日にKEVカタログへCVE-2025-53770を追加し、各政府機関に対して直ちに対処するよう指示。入手可能な情報と緩和策をまとめた独自のアラートも発表している。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価