はじめに:SharePoint ToolShell脆弱性が世界中で悪用される
中国に関連するとされるハッカー集団が、Microsoft SharePointのToolShell脆弱性(CVE-2025-53770)を悪用し、政府機関、大学、通信サービスプロバイダー、金融機関を標的とした攻撃を展開しています。このセキュリティ上の欠陥はオンプレミス型SharePointサーバーに影響を及ぼし、複数の中国系ハッキンググループによって広範な攻撃で悪用されたゼロデイ脆弱性として、7月20日に公表されました。Microsoftは翌日、緊急アップデートをリリースしています。
脆弱性の詳細と背景
ToolShellは、Viettel Cyber Securityの研究者が5月のPwn2Own Berlinハッキングコンテストで実証した2つの脆弱性、CVE-2025-49706およびCVE-2025-49704に対するバイパスです。この脆弱性は、認証なしでリモートからコード実行を可能にし、ファイルシステムへの完全なアクセスを許してしまうものです。Microsoftは以前、ToolShellがBudworm/Linen Typhoon、Sheathminer/Violet Typhoon、Storm-2603/Warlock ransomwareという3つの中国系脅威グループによって悪用されたと述べていました。
攻撃の標的と関与が疑われるグループ
サイバーセキュリティ企業Symantec(Broadcomの一部門)は本日発表したレポートで、ToolShellが中東、南米、米国、アフリカの様々な組織を侵害するために使用されたと報告しています。これらのキャンペーンでは、Salt Typhoonと呼ばれる中国系ハッカーに関連するマルウェアが利用されました。Symantecが挙げた具体的な標的は以下の通りです。
- 中東の通信サービスプロバイダー
- アフリカの2つの政府機関
- 南米の2つの政府機関
- 米国の大学
- アフリカの州立技術機関
- 中東の政府機関
- ヨーロッパの金融企業
Symantecが報告した攻撃の詳細
Symantecのレポートが特に焦点を当てている通信会社への攻撃は、7月21日に開始されました。CVE-2025-53770が悪用され、永続的なアクセスを可能にするウェブシェルが設置されました。これに続き、システム情報の収集、ファイル操作、リモートコマンド実行が可能なGoベースのバックドア「Zingdoor」がDLLサイドローディングによって起動されました。さらに、別のサイドローディングステップで「ShadowPad Trojan」と見られるものが起動され、その後、Rustベースの「KrustyLoader」ツールがドロップされ、最終的にオープンソースのポストエクスプロイテーションフレームワーク「Sliver」が展開されました。注目すべきは、これらのサイドローディングステップに正規のTrend MicroおよびBitDefenderの実行可能ファイルが使用された点です。
攻撃手法と使用されたツール
南米での攻撃では、脅威アクターはSymantecのファイルに似たファイルを使用しました。また、攻撃者はProcDump、Minidump、LsassDumperを介して認証情報ダンプを実行し、PetitPotam(CVE-2021-36942)を利用してドメインを侵害しました。研究者らは、攻撃で使用された公開されているツールや「living-off-the-land」ツールには、MicrosoftのCertutilユーティリティ、GoGo Scanner(レッドチームスキャンエンジン)、データ流出、コマンド&コントロール、侵害されたデバイスでの永続化を可能にするRewsocksユーティリティが含まれていたと指摘しています。
結論:広がる脅威の範囲
Symantecの調査結果は、ToolShell脆弱性がこれまで知られていたよりも広範な中国系脅威アクターによって悪用されていることを示唆しています。組織は、オンプレミス型SharePointサーバーの緊急アップデートを速やかに適用し、これらの高度な攻撃手法に対する防御策を強化することが喫緊の課題となっています。