SharePoint の脆弱性 CVE-2025-53770:ToolShell チェーンによるランサムウェア展開を確認

Ransomware Deployed in Compromised SharePoint Servers

2025/07/24 InfoSecurity — Microsoft SharePoint の脆弱性を悪用する、中国を拠点とする脅威アクターが、侵害済のシステムにランサムウェアを展開していることが確認されている。7月23日のインシデント・アップデートにおいて、Microsoft が明らかにしたのは、Storm-2603 として追跡している脅威グループが、オンプレミスの SharePoint サーバを悪用し、Warlock ランサムウェアを配布している状況である。それに加えて Microsoft は、影響を受ける可能性のある組織に対して、ランサムウェア対策を取り込んだ緩和策の拡充を勧告している。

オンプレミスの SharePoint の脆弱性 CVE-2025-53770/CVE-2025-53771 を悪用する、3つのグループのうちの1つが Storm-2603 である。

この Storm-2603 は、中国を拠点とする脅威アクターであると、中程度の確度で評価されている。このグループのアクティビティとしては、Warlock/LockBit ランサムウェアの展開が確認されている。

Storm-2603 attack chain exploiting SharePoint vulnerabilities and leading to ransomware. Source: Microsoft

現時点において、Microsoft は、この脅威アクターの目的を性格には評価できないと述べている。

SharePoint の脆弱性の悪用が確認されている、その他の2つの脅威アクターは、Linen Typhoon と Violet Typhoon である。この2つは、中国政府が関与する既知のグループであり、政府/防衛/テクノロジー/人権団体などからの機密データの収集を、主要な目的としている。

SharePoint の2つの脆弱性を悪用する一連の攻撃は、サイバー・セキュリティ・コミュニティでは “ToolShell” と呼ばれている。この攻撃チェーンは技術的に高度なものであり、それを操作する脅威アクターたちは、ID 管理を回避しながら、侵害したシステムの特権アクセスを取得している。

攻撃者による影響の最大化

このランサムウェアの展開は、被害者のネットワークに侵入した攻撃者たちの多くが、複数の攻撃手法を用いる傾向を示していると、Acumen Cyber の CTO である Kevin Robertson は述べている。

彼は、「ランサムウェアを使用する攻撃者は、CVE-2025-53770 の悪用により標的環境へのアクセスを拡大し、機密情報を暗号化した後に、ランサムウェアを実行して高額の報酬を得ようとしている」と指摘している。

それに加えて、通常では金銭的な利益を追求しない、中国政府に支援される脅威アクターたちも、この機会を利用してランサムウェアを展開している可能性がある。

Kevin Robertson は、「彼らはネットワークを偵察し、必要な情報を取得した後にランサムウェアを仕掛け、さらなる混乱に被害者を巻き込んでいる可能性がある」と付け加えている。

SharePoint の被害件数が 400 件を突破

オンプレミスの SharePoint ユーザーに対して、Microsoft が通知した内容は、2つの脆弱性に対して完全にパッチを適用していても、すでに侵害されている可能性を疑うべきだというものだ。

ユーザー組織に対して勧告されたのは、暗号化素材のローテーション/専門家によるインシデント対応の実施に加えて、インターネットから SharePoint を遮断するなどの、即応性の高い緩和策を講じることだ。

サイバー・セキュリティ・ベンダである Eye Security が報告したのは、7月23日までの期間において、400 台以上の SharePoint システムが侵害されたことだ。4回の攻撃の波が、7月17日/18日/19日/21日に観測されたが、そこでエクスプロイトが確認されたという。

Eye Security によると、CVE-2025-53770/CVE-2025-53771 に対する PoC エクスプロイト・スクリプトが、GitHub で公開され 7月21日以降にも、複数の攻撃波が発生しているという。

なお、SharePoint 攻撃の被害者には、米国の複数の政府機関が含まれていると、複数のメディアが報じている。

7月23日に Bloomberg が報じたのは、National Nuclear Security Administration と Department of Education が使用していた、オンプレミスの SharePoint サーバが侵害されたことである。その一方で Washington Post が報じたのは、Department of Health and Human Services (DHHS) が攻撃を受けたことだ。

さらに NextGov も、事情に詳しい関係者の情報として、中国のハッカーによる被害者には、Department of Homeland Security (DHS) も含まれると述べている。

Microsoft SharePoint の脆弱性 CVE-2025-53770/53771 が、中国を拠点とするグループにより狙われ、ランサムウェア攻撃に利用しているようです。この脆弱性の原因は、オンプレミスの SharePoint サーバにおけるセキュリティ上の欠陥であり、その悪用チェーンである ToolShell により、システムへの侵入やランサムウェアの展開が生じていると、この記事は指摘しています。よろしければ、ToolShell で検索も、ご参照ください。