Home maintenance - An untidy workshop bench full of dusty old tools and screws.
脅威の調査

実環境での悪用が確認された SharePoint 「ToolShell」の脆弱性

複数のお客様環境での悪用を Sopho X-Ops が観測
作成者 , ,
2025、 7月 21
Threat Research featured MDR SharePoint Sophos X-Ops toolshell 月例アップデート 脅威リサーチ

** 本記事は、SharePoint ‘ToolShell’ vulnerabilities being exploited in the wild の翻訳です。最新の情報は英語記事をご覧ください。**

2025 年 7 月 18 日、Sophos MDR (Managed Detection and Response) のアナリストは、オンプレミス環境の SharePoint インスタンスを標的とした悪意のある活動の急増を観測しました。複数の環境で実行された、悪意のある PowerShell コマンドもその一部です。さらなる分析の結果、これらのイベントは「ToolShell」と呼ばれるエクスプロイトの悪用によるものである可能性が高いと結論付けられました。

今後、事態が進展したり詳細が判明するのに従って、脅威と検知に関するガイダンスなど、本記事を随時更新します。

最新情報 (2025 年 7 月 22 日 21:48 UTC):7 月 17 日に最初の悪用が確認されました。

最新情報 (2025 年 7 月 22 日 16:23 UTC):確認された最初の悪用に関する情報 (「確認された活動」)、攻撃活動の詳細情報と説明、保護機能の詳細 (「対策」)、および公開用の PoC (概念実証) のリリース (「今後の展望」) を追加しました。

ToolShell は、SharePoint の脆弱性である CVE-2025-49704CVE-2025-49706 の連鎖的な悪用を総称したものです。ToolShell のエクスプロイトは 2025 年 5 月にベルリンで開催された Pwn2Own イベントで公開され、Microsoft は 7 月の月例アップデート (リンク先:英語)で両脆弱性に対するパッチをリリースしました。

しかし、攻撃者は実際に ToolShell を使用して新しいゼロデイ脆弱性を悪用しており、その結果、CVE-2025-53770CVE-2025-53771 という 2 つの新しい CVE-ID が公開されました。

Sophos MDR は、標的となっていたすべての組織に連絡を取りましたが、これらの脆弱性が活発に悪用されていることから、オンプレミスの SharePoint サーバーに適用可能なパッチをできるだけ早く当てることをユーザーの皆様に強く推奨します (Microsoft によると、Microsoft 365 の SharePoint Online は影響を受けません)。

確認された活動

Sophos MDR が観測した悪意のある PowerShell コマンドは、影響を受けた SharePoint サーバー上の以下のパスに悪意のある aspx ファイルをドロップします。

C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx

C:\progra~1\common~1\micros~1\webser~1\16\template\layouts\info3.aspx

Sophos が最近観測した事例では、Web シェルがマシンの暗号鍵を標的にした攻撃に使用され、ディスクに書き込まれた際にTroj/WebShel-P として検知されました。これらの暗号鍵が取得されると、SharpViewStateShell と呼ばれるツールによってリモートコード実行に利用される可能性があります。info3.aspx Web シェルは、リモートコマンド実行やファイルアップロードなど、従来からある機能を提供します。

7 月 21 日から、spinstallp.aspxspinstallb.aspx という亜種も確認されました。これらの亜種は、リクエストフォームのフィールドから Base64 でエンコードされた PowerShell コマンドを実行するために、ハードコードされた XOR キーをパスワードとして使用しています。他の攻撃者脅がこの脆弱性を悪用しようとするため、追加のツールや手法が利用される可能性があります。

攻撃者の Web シェルが検知されず、攻撃者がマシンキー (ValidationKey と DecryptionKey) のアクセスを試みた場合、ソフォスの保護機能 Access_3b が動作コントロールの追加レイヤーとしてトリガーされます。マシンキーが侵害された場合は、Microsoft が提供するガイダンスに従ってこれらのキーをローテーションする必要があります。

テレメトリデータによると、大規模な悪用は 2025 年 7 月 18 日に開始されたと推定されます (おそらくは、自動化された悪用の試みに対応している) が、ソフォスの脅威リサーチャーは、7 月 17 日 08:19 UTC に中東を拠点とするお客様に対する攻撃活動を確認しています。観測された活動からは、侵害されたサーバー上で攻撃者が探索コマンドを実行していたことが推測されたため、動作ベースの保護機能によってブロックされました。

実行されたコマンドは次のとおりです。

cmd.exe /c whoami > c:\progra~1\common~1\micros~1\webser~1\16\template\layouts\a.txt

これは、SentinelOne による報告 (コマンドとフォルダーが同じ、ただしファイル名は異なる) と一致しています。さらに分析したところ、当該組織の SharePoint サーバー上の次の URI (/_layouts/15/ToolPane.aspx)を標的とした、悪意のある POST コマンドが確認されました。

ソフォスは現在までに、21 か国およびすべての地域にわたる 84 の顧客組織が標的とされていることを確認しています。関連する業種の分布も広く、教育、政府、サービス、輸送の順で集中度が高くなっています。

対策

オンプレミスの SharePoint インスタンスを運用中のお客様は、Microsoft から提供されている公式パッチを適用し、推奨される軽減策を実施することをお勧めします。何らかの理由でパッチを適用できない場合は、一時的にインスタンスをオフラインにすることを検討すべきです。

Patches for SharePoint Enterprise Server 2016 and SharePoint Server 2019 are now available as of 21 July.

さらに、上記で言及したファイルの存在を確認し、存在する場合は削除することを推奨します。まだ観測されていない亜種が存在する可能性があることにも注意してください。この一覧は完全なものではありません。

ソフォスは、以下の保護機能を提供しています。

  • Access_3b: 外部に公開されているサーバーを悪用した攻撃から保護する動作ルール
  • Persist_26c: ディスクに書き込まれた Web シェルによる lolbin 実行から保護する動作ルール
  • Troj/Webshel-P: 脆弱な SharePoint インストール環境に対する攻撃でよく見られる ASP Web シェルから保護します
  • Troj/ASPDmp-A: マシンキーを抽出およびダンプする ASP から保護します
  • AMSI/ASPDmp-A: AMSI Protection の一環として、AMSI/ASPDmp-A は悪意のある aspx ファイルのドロップの試みをブロックします。

今後の展望

Sophos MDR は、この脆弱性に関連する攻撃後活動の兆候を積極的に監視し続けます。現在、公開された概念実証エクスプロイトが存在するため、今後数日から数週間でこの攻撃の新たな亜種が現れる可能性があります。関連する情報が追加され次第、このページで更新情報を公開します。

著者について

Paul Jaramillo is an extremely passionate, technical, and results-oriented security professional with over 10 years of incident response and 15 years of IT experience. Previously working at Splunk, CrowdStrike, and the US DoE, Paul is currently Director of Threat Hunting & Intelligence at Sophos. He has a long-distinguished record of reducing enterprise risk and guiding organizations to an improved security posture. Some highlights include breaking into a 2-factored VPN as a pen tester, successfully investigating an insider threat case across the globe as a forensic examiner, and hunting and ejecting nation-state adversaries from corporate and government networks.

著者について

Colin is a Threat Intelligence Analyst for the Sophos Managed Detection and Response (MDR) team, focusing on threat actor identification, incident response and working alongside detection engineers to address emerging threats. In past roles he worked in the financial sector performing internal and external penetration testing.

Jordon Olness
著者について

Jordon Olness is a threat intelligence analyst with Sophos Managed Detection and Response. His more than seven years in the industry includes roles in cybersecurity operations and threat hunting. In his current role, Jordon has focused on analyzing malware for threat intelligence value and devising new methods of tracking adversary infrastructure. Jordon loves to visit and explore the Rocky Mountains.

関連記事を読む