キーワードで検索

タグ

今日を知り、明日を変えるシステム運用メディア

SharePoint Serverに緊急の脆弱性、ゼロデイ攻撃も確認。管理者は即時対応を

SharePoint Serverに緊急の脆弱性、ゼロデイ攻撃も確認。管理者は即時対応を

ニュース #サイバー攻撃 #セキュリティ

米時間2025年7月20日、Microsoft社のオンプレミス製品「SharePoint Server」に、認証なしでリモートからコードを実行されかねない極めて深刻な脆弱性が存在することが明らかとなった。

この脆弱性を悪用したゼロデイ攻撃がすでに確認されており、同社はセキュリティ更新プログラムの公開を急ぐとともに、管理者に対して直ちに適用するか、緩和策を講じるよう強く呼びかけている。

本記事では、対象となるSharePoint Serverやこの脆弱性が悪用された被害の概要、また緊急で求められる対策の手順までまとめて紹介する。

参考ページ:Customer guidance for SharePoint vulnerability CVE-2025-53770

脆弱性の概要と、影響範囲

今回明らかになった脆弱性は「CVE-2025-53770」および「CVE-2025-53771」の2つ。

特に「CVE-2025-53770」は、認証されていない攻撃者によってリモートから任意のコードを実行される可能性を持つもので、共通脆弱性評価システム(CVSS)のベーススコアは「9.8」と最高レベルの深刻度を示す。

影響を受けるのは以下のオンプレミス製品である。

  • Microsoft SharePoint Server Subscription Edition (SE)
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server 2016

なお、クラウドで提供されている「SharePoint Online」については、今回の脆弱性の影響を受けない。

この脆弱性を突いたゼロデイ攻撃

今回のSharePoint Serverを標的とするゼロデイ攻撃(CVE-2025-53770)は、認証を一切必要とせず、リモートからサーバーを完全に掌握されかねない極めて危険なものである。攻撃の核心は、SharePointが内部で利用する「.NETデシリアライゼーション」プロセスの脆弱性にある。

これは、データを元のオブジェクト形式に復元する際の検証が不十分であるという欠陥だ。攻撃者はこの弱点を突き、悪意のある命令(「ガジェット」と呼ばれる)を埋め込んだ特殊なデータを作成し、標的サーバーに単一のHTTPリクエストとして送りつける。

サーバーがこのデータを無防備に受け取り、復元処理を実行した瞬間、埋め込まれていた命令が実行され、攻撃が成立する。

観測されている攻撃の多くは、この手法を用いてサーバー上に「Webシェル」と呼ばれるバックドアを設置する。一度Webシェルが設置されると、攻撃者はブラウザ経由でいつでもサーバーに侵入し、内部情報の窃取、システム設定の変更、さらには組織内の他サーバーへ侵入を広げる「横展開」や、ランサムウェアを展開する足がかりとして悪用する。

攻撃は自動化されたツールで広範囲に実行されている可能性があり、インターネットに公開されたサーバーは極めて高いリスクに晒されているため、パッチ適用や場合によっては侵害調査が急務である。

緊急で求められる対策

ゼロデイ攻撃、すなわち脆弱性の修正プログラムが提供される前から攻撃が行われている事実を踏まえ、システム管理者は以下の対策を可及的速やかに実施する必要がある。

対策1:セキュリティ更新プログラムの適用(最優先)

Microsoftは現地時間7月20日以降、各バージョンに対応するセキュリティ更新プログラム(SU)をこちらのWebサイトにて順次公開している。これが最も確実な対策であり、最優先で適用すべきである。手順は以下の通りだ。

  1. サーバーの状態確認: SharePoint Health Analyzerを実行し、サーバーファームが健全な状態であることを確認する。
  2. バックアップの作成: 更新作業に失敗した場合の復旧に備え、SharePointサーバーファームの完全なバックアップを取得する。
  3. 更新プログラムのインストール: 影響を受けるすべてのSharePointサーバー(Web Front End、Application Serverなど)に更新プログラムをダウンロードし、インストールを実行する。
  4. 構成ウィザードの実行: インストール完了後、各サーバーでSharePoint製品構成ウィザード(PSConfigUI.exe)を実行し、データベーススキーマの更新と製品のアップグレードを完了させる。
  5. インストールの検証: [サーバーの全体管理] > [アップグレードと移行] > [パッチの状態の確認] ページで、すべてのサーバーに「欠落なし」と表示されることを確認する。

対策2:緩和策の実施(更新プログラムを即時適用できない場合)

何らかの理由で即座に更新プログラムを適用できない場合は、次善の策として以下の緩和策を組み合わせることで、攻撃のリスクを低減できる。手順は以下の通りである。

  1. AMSI (Antimalware Scan Interface) の有効化:
    • SharePointとAMSIの統合を有効にする。これにより、悪意のあるWebリクエストをスキャンし、ブロックすることが可能となる。特に「フルスキャンモード」での運用が推奨される。
  2. Microsoft Defenderの導入と構成:
    • すべてのSharePointサーバーにMicrosoft Defenderウイルス対策を導入し、リアルタイム保護を有効にする。
  3. ASP.NETマシンキーのローテーション:
    • 万が一サーバーが侵害された場合に備え、攻撃者がセッションを維持するために使用する可能性のあるビュー ステート キーを無効化する。これは、IISマネージャーで各SharePointサイトの「マシンキー」設定を開き、「検証キー」と「暗号化キー」の「キーを生成する」チェックボックスを操作して新しいキーを生成し、適用することで実行できる。
  4. IISの再起動:
    • マシンキーの変更を有効にするため、コマンドプロンプトを管理者として実行し、「iisreset」コマンドでIISを再起動する。

さいごに

今回の脆弱性は、インターネットに直接公開されているSharePointサーバーにとって特に脅威となる。管理者は、自組織のサーバーがすでに侵害されている可能性も視野に入れ、迅速かつ慎重に対応を進めるべきである。

対策の基本はセキュリティ更新プログラムの適用だが、それが難しい場合でも緩和策を講じることで、被害を未然に防ぐ努力が不可欠だ。詳細はMicrosoftセキュリティレスポンスセンター(MSRC)の公式ブログで確認してほしい。

Ops Today編集部
Ops Today編集部
このライターの記事をもっと読む

最新情報をお届けします!

最新のITトレンドやセキュリティ対策の情報を、メルマガでいち早く受け取りませんか?ぜひご登録ください

メルマガ登録

最新情報をお届けします!

最新のITトレンドやセキュリティ対策の情報を、メルマガでいち早く受け取りませんか?ぜひご登録ください

メルマガ登録
TOP - ニュース - SharePoint Serverに緊急の脆弱性、ゼロデイ攻撃も確認。管理者は即時対応を