Microsoft SharePointの脆弱性ToolShellを狙う攻撃にランサムウェアグループも参入

Microsoft SharePointの脆弱性ToolShellを狙う攻撃にランサムウェアグループも参入

BleepingComputer – August 4, 2025

Microsoft SharePointのエクスプロイトチェーン「ToolShell」を悪用する進行中の攻撃に、ランサムウェアグループも参加し始めている模様。Palo Alto NetworksのUnit42が、ToolShellの悪用を伴うインシデントの分析中に4L4MD4Rランサムウェアを発見したことについて報告した。

ToolShellは、SharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Serverサブスクリプション エディションにおけるRCEの脆弱性CVE-2025-49704およびその亜種CVE-2025-53770と、スプーフィングの脆弱性CVE-2025-49706およびその亜種CVE-2025-53771を悪用するエクスプロイトチェーン。いずれに対するパッチもすでにリリースされているものの、それ以前の7月7日には悪用が始まっていたものとみられている。

そんな中、Unit 42は7月27日、上記脆弱性の悪用に関する調査中に、ランサムウェアのダウンロード・実行を担うマルウェアローダーの検出を経て、オープンソースのランサムウェアMauri870の亜種である4L4MD4Rランサムウェアを発見。4L4MD4Rのペイロードを分析したところ、これがUPXでパックされており、Go言語で書かれたものであることが明らかになったという。4L4MD4Rは侵害したシステム上のファイルを暗号化し、ランサムノートと暗号化されたファイルの一覧を生成する性能を持つ。ランサムノートには、0.005ビットコインの身代金を要求する旨と、送金先ウォレットのアドレス、連絡用のメールアドレスなどが記されている。

ToolShellを用いた攻撃については、以前よりマイクロソフトにより中国のアクターとされるLinen Typhoon、Violet Typhoon、およびStorm-2603の関与が報告されていたが、今回のUnit 42の発見でランサムウェアグループもこの悪用活動に参加し始めていることが明らかになった。なお、これまでに被害が報じられている組織には、米国エネルギー省国家核安全保障庁、米教育省、フロリダ州歳入局、ロードアイランド州議会のほか、ヨーロッパや中東の政府ネットワークが含まれる。

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク