Microsoft SharePointの脆弱性(CVE-2025-53770)を標的とした大規模な攻撃の波が観測されています。この脆弱性を悪用することで、認証されていない攻撃者がMicrosoft SharePoint Server上で悪意のあるコードを直接実行し、システムが侵害される可能性があります。CVE-2025-53770の詳細については、Microsoftの公式アドバイザリをご参照ください。
TeamT5のMDRサービスおよびサイバー脅威インテリジェンスチームは、この脆弱性インシデントに迅速に対応しました。お客様の環境がこの攻撃の波の影響を受けているかどうかの確認を支援し、緩和および予防策に関するガイダンスを提供しました。本記事では、この高リスクな脆弱性への効果的な対処方法についての提案を紹介します。
TeamT5の防御対応
脅威分析
SharePointは、社内でコンテンツを共有するために広く利用されており、多くの基幹サービスと高度に統合されています。そのため、一度侵害されると、攻撃者がこのシステムを足がかりに、他の基幹システムへ横展開する可能性があります。CISA(米国サイバーセキュリティ・インフラセキュリティ庁)の提言によれば、SharePointサーバーを運用している企業は、すでに侵入されている可能性を前提に対応すべきとされています。たとえパッチを適用していても、サーバーの状態を完全に確認し、インシデント対応を行う必要があります。
現地調査
TeamT5のMDRサービスチームは、攻撃パターンや関連するIPアドレス(詳細は下記)を分析することで、お客様の環境内に悪意のあるプログラムが存在しないかを積極的に調査しました。また、エンドポイントのスキャンレポートやアクティビティログも確認し、潜在的な脅威が存在しないことを確認しました。
【不審なIPアドレス/ドメイン】
104.238.159.149
107.191.58.76
34.121.207.116
34.72.225.196
45.191.66.77
45.77.155.170
96.9.125.147
104.238.159.149
107.191.58.76
34.121.207.116
34.72.225.196
45.191.66.77
45.77.155.170
96.9.125.147
詳細情報につきましては、ThreatVision - 脆弱性脅威インテリジェンスのご購読をご検討ください。
エンドポイントスキャン
この脆弱性を悪用する攻撃への対応として、TeamT5の脅威フォレンジック分析プラットフォーム「ThreatSonar」を用いることで、SharePointサーバーをスキャンし、関連情報の取得や悪意ある攻撃行動の有無を確認することが可能です。確認の主なポイントは以下の通りです:
- 悪意のあるイベント記録:疑わしいPowerShellの実行履歴が存在するか
- 悪意のあるファイル内容:WebShellの存在有無
- 悪意のあるシステムコマンド:関連する横展開(Lateral Movement)を目的としたlolbas(Living off the Land Binaries and Scripts)の実行状況があるか
TeamT5の提案
現場のSharePointサーバーが攻撃を受けたことが判明した場合、以下の対策を講じることを推奨します:
- SharePointサーバーの外部サービスを停止し(切断および隔離)、当該サーバーのMachineKeyをリセットし、パッチを)適用する。
- 悪意あるファイルやWebアクセスログを保管し、サイバーセキュリティ専門家が攻撃元の特定と分析を行えるようにする。これにより、関連するIoC(侵害指標)の特定と調査が可能となる。
- システム内で発見された悪意あるファイルは直ちに削除し、他のサーバーに対してサイバーセキュリティ健診(コンプロマイズ・アセスメント)および脅威ハンティングを実施し、情報システム内の他のエンドポイントが安全かどうかを確認する。
APT攻撃やランサムウェア攻撃の頻度が増加している現状を踏まえ、TeamT5はお客様の環境において以下の防御および対応策の強化を推奨します:
- サイバーセキュリティインシデントに関するIoC(侵害指標)が公開された場合には、速やかに自社のセキュリティ機器やプラットフォームへインポートし、潜在的な脅威が存在しないかを積極的にスキャンして確認してください。
- 現場のネットワーク末端機器、外部サービスシステム、内部の中核であるAD管理およびエンドポイントシステムに関する脅威情報を把握し、考えられる攻撃行動を見直すとともに、関連する防御メカニズムを導入して、攻撃成功の可能性を低減させてください。
- 現場のインシデント対応プロセスにおいては、「事前の予防」「進行中の保護と対応」「事後の回復と強化」を通じて、ネットワーク攻撃の脅威に備え、調査に必要な証拠の保全を推奨します。
- TeamT5の脅威インテリジェンスおよびインシデント対応チームにご相談いただくことで、現場における潜在的な脅威の見直しや、事前の対応計画立案を支援いたします。具体的には以下のような対応が可能です:
- TeamT5の脅威インテリジェンスプラットフォーム「ThreatVision」を活用し、最新のサイバー攻撃脅威インテリジェンスやディープ&ダークウェブ上の脅威情報を監視することで、アカウントやパスワードの漏洩、システム侵害の可能性、データ流出の状況を把握し、潜在的な侵害を早期に発見、即時に弱点を修復し、被害の拡大を防ぐ。
- ネットワーク構成の見直しと外部への露出リスクの評価を実施し、Web、メール、ERP、AD、業務用エンドポイントなどの重要システムに対しては、エンドポイント検知・対応プラットフォーム「ThreatSonar Anti-Ransomware」を導入し、エンドポイントセキュリティを強化。これにより、ハッカーによる脅威の迅速な検知、対応、ブロックを実現し、環境の安全を確保します。
TeamT5's Commitment
お客様の環境を守るために、TeamT5は多様なセキュリティニーズに対応した各種サービスを提供し、システムの完全性と保護の確保に継続的に取り組んでいます。ご不明な点や詳細情報をご希望の際は、どうぞお気軽にお問い合わせください。
TeamT5のCSIRTおよびPSIRTは、主にサイバーセキュリティインシデントの検知、通知、対応サービスをお客様に提供しています。対応の過程では、お客様のITおよびセキュリティチームと密接に連携し、ネットワーク脅威に先回りして対応できるよう、必要なインテリジェンスや専門的なツールを提供します。さらに、インシデント発生時の検知・対応から、インシデント後の復旧および強化支援まで一貫してサポートします。コンサルティングのご相談は、お気軽にお問い合わせください。