After SharePoint attacks, Microsoft stops sharing PoC exploit code with China
2025/08/22 SecurityAffairs — 2025年7月に発生した大規模な攻撃で、SharePoint の脆弱性が悪用されたことを受け、Microsoft Active Protections Program (MAPP) プログラムを通じて中国企業に提供されていた、PoC エクスプロイト・コードの開示が停止されたようだ。それに代わって、政府への脆弱性報告を義務付けられている中国などの企業は、一般的な書面による説明のみを受け取ることになる。この措置は、情報漏洩を抑制しながら、防御側にとっての MAPP の有用性の維持を目的としている。
Microsoft は信頼できるベンダーに対して、通常の月例パッチの2週間前に、今後において発生する、セキュリティ上の脆弱性の詳細を共有している。それが、Microsoft Active Protections Program (MAPP) である。
このプログラムにより、それぞれのベンダーは、事前に防御策を更新することが可能となる。パートナーは NDA に署名し、一般にパッチが展開される前に、エクスプロイトからユーザーを保護できるようになる。
Microsoft の広報担当者である David Cuddy は、「私たちは、これが悪用される可能性があることを認識している、したがって、悪用を防ぐために、既知/未知の脆弱性も含めて措置を講じている。私たちは、継続的に参加者を審査し、攻撃への参加禁止を含む契約違反が判明した場合は、参加資格を停止/削除している」と述べている。
2025年7月の下旬に、中国を拠点とする国家機関やランサムウェア集団などが、2つの脆弱性を悪用し、400台以上のオンプレミス SharePoint サーバを乗っ取り、リモートコード実行を可能にした。
7月8日の時点で、Microsoft はバグ修正を公開したが、その後に、パッチ・プログラムが不完全であったことを認めた。最終的な修正は 7月21日に行われたが、すでに大規模な悪用が始まっており、MAPP が中国で漏洩しているという懸念が高まっている。
Microsoft が確認しているのは、中国由来のグループ Linen Typhoon/Violet Typhoon/Storm-2603 が、2025年7月7日という早期の段階で、 SharePoint の脆弱性を悪用してイニシャル・アクセスを試行していたことだ。
Microsoft のレポートには、「この記事の執筆時点で当社は、Linen Typhoon/Violet Typhoon という2つの中国に支援されるグループが、インターネットに接続された SharePoint サーバを標的として、これらの脆弱性を悪用していることを確認している。さらに、Storm-2603 として追跡されている、中国由来の別の脅威アクターが、これらの脆弱性を悪用していることも確認している」と記されている。
Microsoft が警告するのは、より多くの脅威アクターが SharePoint のエクスプロイトを採用しており、パッチ未適用のオンプレミス・システムへの攻撃が継続していることである。
脅威アクターたちは、ToolPane エンドポイントに POST リクエストを送信することで、オンプレミスの SharePoint サーバをスキャン/攻撃していると、Microsoft は分析している。
この攻撃に成功した攻撃者は、認証の回避を達成し、spinstall0.aspx などの悪意のスクリプトを用いて、MachineKey などの機密性の高い暗号キーを盗み出していく。また、攻撃者は検出を回避するために、スクリプトの名前を僅かに変更するという。Microsoft は、これらの攻撃を検出するための、IOC (indicators of compromise) とハンティング・ツールを公開している。
以下は、ToolShell の脆弱性を悪用する、中国関連のグループの概要である。
- Linen Typhoon (別名 APT27/Bronze Union/Emissary Panda/TG-3390/Bronze Union/Lucky Mouse/UNC215):政府機関および防衛分野の知的財産を標的としている。Linen Typhoon は、遅くとも 2012年から活動している中国を拠点とする脅威アクターであり、外国大使館を標的として、政府機関/防衛機関/テクノロジー分野に関するデータを収集している。
- Violet Typhoon (別名 APT31/Bronze Vinewood/Judgment Panda/Red keres/TA412/Zirconium):NGO/メディア/学術機関に対するスパイ活動に重点を置いている。Violet Typhoon は、遅くとも 2015年から活動している、中国由来の攻撃者である。
- Storm-2603:SharePoint サーバから MachineKey を盗み出そうとする、ランサムウェアとの関連性が疑われる。これらの攻撃者は、無防備なシステムを悪用して Web シェルをインストールしていく。今後において、多くの攻撃者が、これらの手法を採用する可能性が高いと予測される。Microsoft が強く推奨するのは、パッチ未適用のオンプレミス SharePoint 環境を保護するために、速やかにパッチを適用し、緩和策を講じることだ。
2025年7月の時点で、Trend Micro – Zero Day Initiative (ZDI) の Head of Threat Awareness である Dustin Childs は、「どこかで漏洩が発生した。そして今、ゼロデイ・エクスプロイトが実環境に出回っている。さらに悪いことに、翌日に公開されたパッチを回避する、ゼロデイ・エクスプロイトも実環境に出回っている」と、The Register に語っていた。
SharePoint の脆弱性が悪用され、大規模な攻撃が引き起こされたことを受け、Microsoft が中国企業への PoC エクスプロイト・コードの提供を停止したようです。この記事は、MAPP プログラムからの情報漏洩の疑いを指摘しています。よろしければ、ToolShell で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.