English 
マイクロソフトは、すでにハッカーに悪用されている2つの重要なSharePointのゼロデイ脆弱性に対するセキュリティパッチを適用しました。これらの脆弱性に対応するため、同社はSharePoint Server Subscription EditionとSharePoint Server 2019の修正パッチをリリースしました。一方、SharePoint Server 2016向けのパッチは現在も開発中。CVE-2025-53771」「CVE-2025-5377」と特定された2件の脆弱性は、オンプレミス版のSharePointのみに影響するもので、クラウドベースのSharePoint Onlineを利用している組織への影響はありません。CVE-2025-53771 は重要であり、SharePoint Server のスプーフィング脆弱性と定義されています。この脆弱性により、攻撃者はSharePoint環境内の正当な信頼できるユーザーやリソースになりすますことができます。一方、CVE-2025-53770は「重要」と評価されており、SharePoint Serverにおけるリモートコード実行の脆弱性で、ハッカーがSharePoint環境上でリモートから任意のコードを実行できる可能性があります。クラウドソーシング型サイバーセキュリティ・プロバイダー Bugcrowd の最高情報セキュリティ責任者(CISO)である Trey Ford 氏は、ZDNET に次のように語っています:「CVE-2025-53770は、脅威行為者にリモートでコードを実行する能力を与え、(シングルサインオンや多要素認証などの)ID保護を回避し、設定ファイルやシステムファイルを含むSharePointサーバー上のコンテンツにアクセスさせます。また、Windows ドメイン全体への横方向のアクセスも可能になります。これら2つの脆弱性の組み合わせにより、サイバー犯罪者はSharePoint環境に悪意のあるプログラムをインストールし、システムを侵害することが可能になります。
そして実際、そのような攻撃はすでに発生しています。米国の連邦政府機関や州政府機関、大学、エネルギー関連企業などがすでにハッカーの攻撃を受けていると、州当局者や民間の研究者がワシントン・ポスト紙に語っています。研究者によると、少なくとも2つの米連邦政府機関のSharePointサーバーが危険にさらされているとのこと。また、ある州当局者は、攻撃者は政府の仕組みを理解するのに役立つ文書を「ハイジャック」したと述べています。なぜマイクロソフトは、事態が深刻化するまでこれらのセキュリティ欠陥を放置していたのでしょうか?同社は、7月8日にリリースしたパッチチューズデー(CVE-2025-49706、CVE-2025-49704、CVE-2025-49701)で、SharePoint Serverのスプーフィングとリモートコード実行の両方の脆弱性を修正しようとしました。 しかし、これらの修正は完全には機能せず、熟練したハッカーによって回避されたようです。新しいパッチが正しく機能することを祈ります。マイクロソフトは、多くのCVEに関するFAQで、"CVE-2025-53770の更新プログラムはCVE-2025-49704の更新プログラムよりも強固な保護を提供し、CVE-2025-53771の更新プログラムもCVE-2025-49706の更新プログラムよりも強固な保護を提供する "と説明しています。マイクロソフトのような企業が、なぜ顧客をこのようなセキュリティ欠陥にさらし続けるのかという疑問は消えません。根本的な問題は、さまざまな顧客環境が複雑化していることです。フォード氏は、「パッチが完全に包括的であることはめったになく、コードベースは非常に複雑で、さまざまな実装があります。このため、テストハーネスとリグレッションテストのプロセスは非常に複雑になっています。理想的な世界では、誰もが完全にパッチを適用した最新バージョンのコードを実行しているはずです。しかし、それは現実的ではありません。そのため、機能開発は、指数関数的に拡大する複雑な表面領域にわたってテストされなければなりません。Microsoftが20日に新しいパッチを配布する前日、セキュリティ会社のEye SecurityがSharePointの脆弱性について警告していました。「2025年7月18日夜、Eye Securityは、大規模に悪用されている新しいSharePointのリモートコード実行(RCE)の脆弱性チェーンを初めて特定しました。数日前に『X』で実証されたこのエクスプロイトは、世界中のオンプレミスのSharePointサーバーを標的に使用されています。私たちのチームは、先週金曜日にこの脆弱性が公開される前に、世界中の8,000台以上のSharePointサーバーをスキャンし、7月18日18:00UTC頃と7月19日07:30UTC頃の2回の攻撃の波で、数十台のシステムが積極的に侵害されていることを確認しました。"Eye Securityは、このセキュリティ欠陥を "ToolShell "と命名し、この攻撃がSharePoint環境を危険にさらす可能性があることを詳述しています。ハッカーは、セキュリティ保護を回避してリモートでコードを実行し、SharePoint のコンテンツ、システムファイル、および構成情報にアクセスする可能性があります。
さらに、暗号化キーを盗むことで、サーバーにパッチが適用されていても、ハッカーはユーザーやサービスになりすますことができます。SharePointは、Outlook、Teams、OneDriveなどのMicrosoftの他のサービスと統合されているため、ハッカーはネットワーク上を移動して、関連するパスワードやデータを盗むことができます。SharePoint Server を運用している組織に対して、Microsoft はこの脆弱性を修正する手順を明らかにしました。SharePoint Server Subscription Editionを使用している場合は、専用の更新ページにアクセスしてパッチをダウンロードしてインストールする必要があります。一方、SharePoint Server 2019を使用している組織は、別の更新ページにアクセスすることで、対応するパッチにアクセスできます。また、今後の攻撃から身を守るために、いくつかの対策を講じることを勧めています。SharePointの対応バージョンMicrosoft Windows Server 2016およびWindows Server 2016を使用していることを確認してください。7月パッチを含む最新のセキュリティパッチが適用されていることを確認してください。Windows Antimalware Scan Interface (AMSI) が有効になっていることを確認してください。また、Defender Antivirusなどのウイルス対策製品が適切に設定されていることを確認してください。Microsoft Defender for Endpoint などのセキュリティソフトウェアを導入します。SharePoint Server の ASP.NET マシンキーを定期的にローテーションします。現在、SharePoint 2016 のユーザーは依然としてエクスプロイトのリスクにさらされています。
こちらもお読みください: BlackBerryとEC-Councilがマレーシアのサイバー人材を増強
しかし、マイクロソフトは近日中にこのバージョンに対するパッチを提供する予定です。そのため、SharePoint の顧客向けのガイダンスページで、最新のアップデートを引き続き確認する必要があります。フォードは、SharePoint サーバーを運用している組織に対して、さらに次のようなアドバイスをしています。「独自のサービスをオンプレミスで運用している場合、インターネットに公開したり、信頼できないサードパーティにアクセスしたりする必要が本当にあるのか、自問自答する必要があります。また、「攻撃対象領域を減らすことは常に賢明であり、可能な限り、一般ユーザーや信頼できないユーザーが利用できるホストやサービスの数を最小限に抑えるべきです。この記事は、海外のZiff Davisが発表した記事を朝日インタラクティブが日本向けに編集したものです。同社は、脆弱性に対するセキュリティパッチを適用しています。これらの脆弱性を受け、同社はSharePoint Server Subscription EditionとSharePoint Server 2019の修正パッチをリリース。一方、「SharePoint Server 2016」向けのパッチは現在も開発中。CVE-2025-53771およびCVE-2025-5377として特定されたこれら2つの脆弱性は、SharePointのオンプレミス版のみに影響し、クラウドベースのSharePoint Onlineを使用している組織には影響しません。CVE-2025-53771 は重要であり、SharePoint Server のスプーフィング脆弱性と定義されています。この脆弱性により、攻撃者は SharePoint 環境内の信頼されたユーザーやリソースになりすますことができます。
一方、CVE-2025-53770 は「重要」と評価されており、SharePoint Server のリモートコード実行の脆弱性で、ハッカーがリモートから SharePoint 環境上で任意のコードを実行できる可能性があります。クラウドソーシング型サイバーセキュリティ・プロバイダー Bugcrowd の最高情報セキュリティ責任者(CISO)である Trey Ford 氏は、ZDNET に次のように語っています:「CVE-2025-53770により、脅威者はリモートでコードを実行したり、(シングルサインオンや多要素認証などの)ID保護を回避したり、設定ファイルやシステムファイルを含むSharePointサーバー上のコンテンツにアクセスしたりすることが可能になります。また、Windows ドメイン間での横方向のアクセスも可能になります。これら2つの脆弱性の組み合わせにより、サイバー犯罪者はSharePoint環境に悪意のあるプログラムをインストールし、システムを侵害することが可能になります。そして実際、このような攻撃はすでに発生しています。ハッカーはすでに米国内の連邦政府機関や州政府機関、大学、エネルギー企業などを攻撃していると、州当局者や民間の研究者がワシントン・ポスト紙に語っています。研究者によると、少なくとも2つの米連邦政府機関でSharePointサーバーが侵害されたとのこと。また、ある州政府関係者は、攻撃者が「政府の仕組みを理解するための文書を "ハイジャック "した」と述べています。なぜマイクロソフトは、このようなセキュリティ上の欠陥が深刻になるまで放置していたのでしょうか?同社は、7月8日にリリースしたパッチチューズデー(CVE-2025-49706、CVE-2025-49704、CVE-2025-49701)で、SharePoint Serverのスプーフィングとリモートコード実行の脆弱性の両方を修正しようとしました。 しかし、これらの修正は完全には機能せず、熟練したハッカーによって回避されたようです。この新しいパッチが正しく機能することを期待しましょう。
マイクロソフトは、多くのCVEに関するFAQ(よくある質問)の中で、「CVE-2025-53770に対する更新プログラムは、CVE-2025-49704に対する更新プログラムよりも強固な保護を提供します。また、CVE-2025-53771 に対する更新プログラムは、CVE-2025-49706 に対する更新プログラムよりも強固な保護を提供します。マイクロソフトのような企業が、なぜ顧客をこのようなセキュリティ欠陥にさらし続けるのかという疑問は消えません。その背景にある問題は、顧客固有の環境が複雑化していることです。「パッチが完全に包括的であることはまれで、コードベースは非常に複雑で、さまざまな実装があります。「このため、テストハーネスとリグレッションテストのプロセスは非常に複雑になります。理想的な世界では、誰もが完全にパッチを適用した最新バージョンのコードを実行しているはずです。しかし、それは現実的ではありません。そのため、機能開発は、指数関数的に複雑さを増す表面領域全体でテストされなければなりません。Microsoftが20日に新しいパッチを配布する前日、セキュリティ会社のEye SecurityがSharePointの脆弱性について警告していました。「2025年7月18日夜、Eye Securityは、大規模に悪用されている新しいSharePointのリモートコード実行(RCE)の脆弱性チェーンを初めて特定しました。さらに、「数日前に『X』で実演されたこのエクスプロイトは、世界中のオンプレミスのSharePointサーバーを標的に使用されています。私たちのチームは、先週金曜日にこの脆弱性が公開される前に、世界中の8,000台以上のSharePointサーバーをスキャンし、7月18日18:00UTC頃と7月19日07:30UTC頃の2回の攻撃の波で、数十台のシステムが積極的に侵害されていることを確認しました。"Eye Securityは、このセキュリティ欠陥を "ToolShell "と命名し、この攻撃がどのようにSharePoint環境を侵害するかを詳述しています。ハッカーは、セキュリティ保護を回避してリモートでコードを実行し、SharePoint のコンテンツ、システムファイル、および設定情報にアクセスすることができます。さらに、暗号化キーを盗むことで、たとえサーバーにパッチが適用されていたとしても、ユーザーやサービスになりすますことが可能になります。SharePoint は、Outlook、Teams、OneDrive などの他の Microsoft サービスと統合されているため、ハッカーはネットワークを越えて移動し、関連するパスワードやデータを盗むことができます。SharePoint Server を運用している組織に対して、Microsoft は脆弱性を修正する方法を説明しています。SharePoint Server Subscription Editionを使用している場合は、専用の更新ページにアクセスしてパッチをダウンロードしてインストールする必要があります。一方、SharePoint Server 2019を使用している組織は、別の更新ページでパッチを見つけることができます .将来の攻撃から保護するためのパッチが利用可能になりました。フォードはまた、今後の攻撃から身を守るためにいくつかの対策を講じるよう組織に助言しています:サポートされているバージョンのSharePoint Serverを使用する 7月のパッチを含む最新のセキュリティパッチが適用されていることを確認する Windows Antimalware Scan Interface (AMSI) が有効になっていることを確認する Defender Antivirusなどのウイルス対策製品が適切に設定されていることを確認する Microsoft Defender for Endpointなどのセキュリティソフトウェアを導入する SharePoint ServerのASP.NETマシンキーを定期的にローテーションする 現在、SharePoint 2016のユーザーはまだエクスプロイトの危険にさらされています。
しかし、 マイクロソフト は、近日中にこのバージョンに対するパッチを提供する予定です。このため、SharePoint をご利用のお客様向けのガイダンスページで、最新の更新情報を引き続きご確認ください。フォードは、SharePoint サーバーを運用している組織に対して、さらなるアドバイスを提供しています。「独自のサービスをオンプレミスで運用している場合、インターネットに公開したり、信頼できないサードパーティにアクセスしたりする必要が本当にあるのか、自問自答する必要があります。また、「攻撃対象領域を減らすことは常に賢明であり、信頼できない一般ユーザーが利用できるホストやサービスの数は可能な限り最小限に抑えるべきです」とも述べています。この記事は、海外のZiff Davisが発表した記事を朝日インタラクティブが日本向けに編集したものです。
ソース ヤフー
日本語