2025年10月22日、シマンテックの最新レポートにより衝撃的な事実が明らかになりました。中国拠点とみられる攻撃者グループが、Microsoft SharePoint ServerのToolShell脆弱性(CVE-2025-53770)を悪用し、修正パッチ公開のわずか2日後から世界規模での攻撃を開始していたのです。
今回の攻撃では、中東の通信事業者、アフリカの政府機関2部門、南米の政府機関2組織、そして米国の大学が実際に侵害を受け、さらにアフリカの国家技術機関、中東の政府部門、欧州の金融会社でも侵害の兆候が確認されています。
攻撃の全貌:修正から侵入まで48時間の恐怖
この攻撃の恐ろしさは、そのスピードにあります。2025年7月19日にMicrosoftがSharePoint Serverのゼロデイ脆弱性「CVE-2025-53770」への緊急対応を発表した後、攻撃者は7月21日には早くも侵入を開始していました。
私がフォレンジック調査で関わった過去の事例でも、パッチ公開直後の攻撃は珍しくありませんが、これほど短時間で組織化された攻撃が展開されるケースは稀です。攻撃者は明らかに事前準備を整え、脆弱性情報の公開を待ち構えていたのです。
攻撃の時系列
- 7月19日:Microsoft、CVE-2025-53770の緊急セキュリティガイド発表
- 7月21日:攻撃者がWebシェル設置開始(パッチ公開の2日後)
- 7月25日:KrustyLoader展開による永続化達成
- 継続中:資格情報窃取と横展開活動
高度な攻撃手法:正規ツールを悪用したステルス侵入
今回の攻撃者が使用した手法は極めて巧妙です。正規のベンダー製品(Trend Micro、BitDefender、BugSplatの実行ファイル)を利用したDLLサイドローディングにより、セキュリティソフトの検知を回避しながらZingdoorやShadowPadといった高度なマルウェアを展開しました。
使用されたマルウェアと攻撃ツール
- Zingdoor:バックドア機能を持つ高度なマルウェア
- ShadowPad:中国系攻撃グループが愛用するモジュール型プラットフォーム
- KrustyLoader:初期段階での永続化を担うローダー
- Sliverビーコン:C2通信とコマンド実行
- PetitPotam:認証リレー攻撃による権限昇格
特に注目すべきは、攻撃者がcertutil、ProcDump、PowerSploit Minidumpなど、Windows標準ツールやセキュリティ管理者が日常的に使用する正規ツール(LOLBAS:Living Off The Land Binaries and Scripts)を悪用している点です。これにより、通常のシステム管理作業と攻撃活動の区別が困難になります。
被害の実態:実際のフォレンジック事例から学ぶ
過去に関わった類似のSharePoint攻撃事例では、中小企業のA社(製造業)で以下のような被害が確認されました:
- 社内文書サーバへの不正アクセス(設計図面、顧客情報など機密データ流出)
- Active Directoryの管理者権限奪取
- バックアップサーバの暗号化(ランサムウェア展開)
- 復旧まで約2週間、損失額は約3,000万円
この事例でも、SharePointサーバが外部からアクセス可能な状態で運用され、パッチ適用が遅れたことが主要因でした。攻撃者は正規の管理ツールを悪用したため、初期の異常検知が困難だったのです。
なぜ攻撃が成功したのか:根本的な問題点
今回の大規模攻撃が成功した主要因は以下の通りです:
1. パッチ適用の遅れ
緊急セキュリティガイドが発表されたにも関わらず、多くの組織でパッチ適用が遅れました。特に政府機関や大企業では、変更管理プロセスの厳格さが逆に迅速な対応を阻害する場合があります。
2. インターネット露出の問題
SharePointなどの基幹システムが直接インターネットからアクセス可能な状態で運用されていました。本来であればVPN
などを通じてアクセス制御を行うべきです。
3. 行動分析による検知の不備
正規ツールを悪用したDLLサイドローディングやLOLBAS攻撃に対する行動ベースの検知機能が不十分でした。従来のシグネチャベースのアンチウイルスソフト
では、こうした高度な攻撃の検出は困難です。
効果的な対策:多層防御の実装
即座に実施すべき対策
1. パッチ管理の強化
- 緊急パッチは72時間以内の適用を目標とする
- テスト環境での検証プロセスを簡素化
- クリティカルシステムの棚卸しと優先順位付け
2. ネットワーク分離とアクセス制御
- SharePointサーバの直接インターネット露出を回避
- VPN
を活用した安全なリモートアクセス環境の構築 - ゼロトラストネットワークアーキテクチャの導入
3. 高度な脅威検知システムの導入
- 行動分析ベースのEDR(Endpoint Detection and Response)
- DLLサイドローディング検知機能付きアンチウイルスソフト
- SIEM(Security Information and Event Management)による統合監視
継続的なセキュリティ強化
1. Webサイト脆弱性診断サービス
の定期実施
SharePointを含むWebアプリケーションの脆弱性を定期的に評価し、未知の脆弱性を事前に発見することが重要です。特に外部公開しているシステムについては、月次での診断実施を推奨します。
2. インシデントレスポンス体制の強化
- 24時間365日のSOC(Security Operations Center)監視
- インシデント対応手順書の定期的な見直し
- フォレンジック調査体制の事前整備
組織規模別の対策アプローチ
中小企業向け対策
限られたリソースでも実装可能な現実的な対策:
- クラウドベースの統合セキュリティソリューション活用
- マネージドセキュリティサービス(MSS)の導入
- 従業員向けセキュリティ教育の定期実施
- 業界団体や政府機関からの脅威情報活用
大企業・政府機関向け対策
- 専門的なCSIRT(Computer Security Incident Response Team)の設置
- 脅威ハンティングチームの組成
- AI/機械学習を活用した高度な異常検知システム
- 国際的な脅威インテリジェンス共有への参加
今後の脅威動向と対応戦略
今回の攻撃は、国家支援型攻撃グループ(APT:Advanced Persistent Threat)による組織的なサイバースパイ活動の典型例です。Glowwormグループとの関連も指摘されており、今後も類似の攻撃手法が継続的に使用される可能性が高いと予想されます。
特に注意すべきは、攻撃者がAWS S3バケットを悪用したC2(Command and Control)通信を行っている点です。正規のクラウドサービスを悪用することで、通信の検知回避と長期間の潜伏を図っています。
まとめ:proactiveなセキュリティ対策の重要性
今回のSharePoint ToolShell脆弱性を悪用した攻撃は、現代のサイバー脅威の特徴を如実に示しています。攻撃者は常に新しい脆弱性情報を監視し、パッチ公開と同時に攻撃を開始する準備を整えているのです。
組織を守るためには、単一の対策に依存するのではなく、多層防御アプローチによる包括的なセキュリティ体制の構築が不可欠です。特に、アンチウイルスソフト
による予防的な保護、VPN
によるネットワークアクセス制御、そしてWebサイト脆弱性診断サービス
による継続的な脆弱性評価の組み合わせが効果的です。
サイバーセキュリティは一度対策を講じれば終わりではありません。脅威の進化に合わせて継続的に対策を見直し、改善していくことが組織の資産と信頼を守る唯一の道なのです。
一次情報または関連リンク
ToolShell Used to Compromise Telecoms Company in Middle East
