中国のAPTが脆弱性ToolShellを悪用：マイクロソフトが報告

佐々山 Tacos

2025.07.23

中国のAPTが脆弱性ToolShellを悪用：マイクロソフトが報告

SecurityWeek – July 22, 2025

週末にかけて悪用が報告され始めたMicrosoft SharePointに対するゼロデイ攻撃をめぐり、マイクロソフトが新たなブログ記事を公開。その中で、中国のAPTアクター3組がToolShellの脆弱性を悪用しているのを観測したと記した。

脆弱性「ToolShell」

ToolShellは、オンプレミスのSharePointサーバーに影響を与える2つの脆弱性CVE-2025-49704およびCVE-2025-49706に付けられた脆弱性名。これらは、2025年5月に開催されたハッキングコンテスト「Pwn2Own Berlin 2025」で報告された脆弱性で、それぞれ「リモートコード実行の脆弱性」、「スプーフィングの脆弱性」と説明されている。いずれも7月8日にリリースされたマイクロソフトの月例パッチで修正されたものの、その数日後にCode Whiteの研究者らが両脆弱性のエクスプロイトチェーンを再現することに成功してこれを「ToolShell」と命名。その後のゼロデイ攻撃の報告により、CVE-2025-49704およびCVE-2025-49706に対するパッチがバイパスされているようであることが発覚したことを受け、マイクロソフトはそれぞれに対応する新たなCVE識別子CVE-2025-53770とCVE-2025-53771を採番し、これらを修正するパッチも新しくリリースした。

中国のAPTが悪用に関与

マイクロソフトは7月22日に公開したブログ記事において、以下3組の脅威アクターグループが、ターゲット組織への初期アクセス獲得のために早ければ2025年7月7日からCVE-2025-49706およびCVE-2025-49704の悪用を試み始めたとみられることを明かしている。

Linen Typhoon：中国の国家型アクターで、2012年から政府、防衛、戦略計画、人権といった領域に関連する組織を主な標的として知的財産を盗み出す活動に従事してきたとされる。
Violet Typhoon：同じく中国の国家型アクターで、2015年から米国、ヨーロッパ、東アジアの元政府系職員、元軍人、NGO、シンクタンク、高等教育機関、メディア、金融部門の組織、医療系組織を主な標的としてスパイ活動に従事してきたとされる。
Storm-2603：拠点は中国だろうと中程度の確度で評価されている脅威アクターだが、既知のその他の中国アクターとの関わりは特定されていない。マイクロソフトは、上記脆弱性を通じてMachineKeysを盗み出す試みに関連してStorm-2603を追跡している。同社は過去に同アクターがWarlockおよびLockbitランサムウェアを展開するのを観測したことがあるが、現時点では同アクターの目的が何なのかを高い確度で評価することはできないという。

マイクロソフトはまた、上記3組以外のアクターがこれらの脆弱性を悪用している可能性もあるとし、セキュリティアップデートおよび緩和策の適用を組織に呼びかけた。

初期侵入後の活動

マイクロソフトによると、脅威アクターはToolShellを悪用して認証バイパスおよびRCEを達成することに成功した場合、ポストエクスプロイトのペイロードの中でWebシェル「spinstall0.aspx（spinstall1.aspxやspinstall2.aspxなどのバリエーションもあり）」を使用していたという。観測された攻撃において、アクターは細工されたPOSTリクエストをSharePointサーバーに送り、この悪意あるスクリプトをアップロード。このスクリプトに含まれたコマンドでMachineKeyデータを取得し、GETリクエストを通じてユーザーに返すことでキーマテリアルの窃取が可能になっていたとされる。

CVE-2025-53771をめぐる混乱

ToolShellの脆弱性に関して、マイクロソフトのブログ記事ではCVE-2025-49706およびCVE-2025-49704が中国ハッカーに悪用されている旨が伝えられているものの、CVE-2025-53770とCVE-2025-53771も同様に悪用されているのかについては名言されていない。一方で、同社が公開している各脆弱性の公式アドバイザリの「Exploited」ステータスをみてみると、現時点で「Yes（悪用されている）」というステータスになっているのはCVE-2025-53770のみ。これ以外の3件については「No」と記されている。このため正確にはどのCVEが悪用されているのかについて、特にCVE-2025-53771が悪用されているの否かについて混乱が生じているとSecurityWeek紙は指摘している。

ただ、サイバーセキュリティ企業がToolShellの悪用に関して公開したブログ記事の中には、攻撃者がCVE-2025-53770とCVE-2025-53771を連鎖させて利用しているのを観測したと述べているものもある。トレンドマイクロ、Palo Alto Networks、CrowdStrike、SentinelOneが攻撃者による両脆弱性の悪用を示唆または明記しているほか、WatchTowr社はSecurityWeekの取材に対し、同社が観測した悪用の試みはシステムの完全な侵害を達成するためにCVE-2025-53770とCVE-2025-53771の両方を連鎖させるものだったと伝えたという。

AMSIの有効化だけでは不十分？

WatchTowr社はさらに、CVE-2025-53770をマルウェア対策スキャンインターフェース（AMSI）をバイパスする形で悪用する手法を発見したことも報告している。AMSIの有効化はパッチを即座に適用できない顧客向けの緩和策としてマイクロソフトが推奨しているものであり、またパッチがリリースされる前の段階でも推奨されていたものだが、WatchTowr CEOのBenjamin Harris氏は自社の発見を踏まえ、「一部の組織がパッチを適用する代わりに『AMSIを有効化する』という選択をしていると聞き、私たちは懸念を抱いている」とし、「組織はパッチを適用しなければならない」と注意喚起した。

ShadowServerによると、悪用のニュースが出た直後の全世界におけるインターネットに露出したSharePointインスタンスの件数は9,000件以上存在しており、日本における露出したインスタンスも7月21日時点で320件あったとされる。このうち脆弱な状態のものがどれくらいあるのかは不明だが、CrowdStrikeによると、7月18日から21日の間に攻撃を受けたサーバーの数は数百に上るという。このような状況から、パッチ適用が未了の組織には可及的速やかな対応が求められている。