ISSコラム

CVE-2025-53770（通称 “ToolShell”） について

CVE-2025-53770は、オンプレミス版のMicrosoft SharePoint Serverに影響を与える脆弱性で、攻撃者は認証なしで任意コードをリモートから実行できる重大な脆弱性です。確認された攻撃活動では、この脆弱性を利用し、ウェブシェルと呼ばれるバックドアを組み込む試みが確認されています。
この攻撃は世界中で広く行われており、日本企業にも被害が出ております。
加えてウェブシェルにアクセスする試みも広く行われており、脆弱性の影響を受けウェブシェルを組み込まれてしまうと、攻撃者にシステム上で任意のコマンドを実行される、などの影響が出る可能性があります。
そのため、オンプレミスのShare Point Serverを利用している組織は直ちに対応を実施する必要があります。

実際の悪用

1. 　初期アクセス：特定の POST リクエスト（/_layouts/…/ToolPane.aspx）により、逆シリアライズ処理を悪用し、指定された PowerShell コマンドを実行

2.　ウェブシェル展開：spinstall0.aspx をレイアウトフォルダに設置し永続化

3.　機密情報取得：ウェブシェル経由で SharePoint の Machine Key（ValidationKey、DecryptionKey）を抽出

4.　トークン偽造／再侵入：取得したキーを使い偽造された ViewState等で再侵入、認証回避して自由に操作可能

影響範囲

・SharePoint Server Subscription Edition、2019、2016（オンプレミス）

・全世界で85以上の組織に実害報告※SharePoint Onlineは影響なし

推奨対策

・緊急セキュリティパッチ適用

・SharePoint Server Subscription Edition:KB 5002768 

・SharePoint Server 2019:KB 5002754 ＋ 言語パック KB 5002753 

・SharePoint Server 2016:KB 5002760 ＋ 言語パック KB 5002759（7月21日リリース）

・AMSI有効化 + Defender導入

・AMSIの効果（攻撃内容：AMSIの効果）

　-PowerShellでの WebShell 展開：スクリプト・コードの動的検出が可能

　-ツールによる cmd/powershell 実行：コマンド内容に基づくスキャンで検知可能

　-SharePoint の HTTP 攻撃ペイロード：リクエストボディのシグネチャ検出が可能

・Machine Keyの再生成とIIS再起動

本コラムについて

インターネットセキュアサービス㈱（以下、ISS）が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。