投稿者: やましなたかし

はじめに

2025年7月、MicrosoftのSharePoint Serverに重大なゼロデイ脆弱性が発見され、セキュリティ業界に大きな衝撃を与えました。この脆弱性「CVE-2025-53770／53771」は、単なる技術的な欠陥にとどまらず、組織の機密情報や業務基盤を危険に晒す深刻なリスクを内包しています。

特に注目すべき点は、「認証不要で外部からリモートコード実行が可能」という点です。つまり、パスワードもIDも必要なく、悪意ある第三者がネットワーク越しにSharePointサーバーの内部へ侵入し、任意のプログラムを実行できるという状況です。これはサーバー乗っ取りやランサムウェア感染、情報漏洩といった重大なセキュリティ事故につながりかねません。

実際、この脆弱性はすでに世界各地の組織に対して悪用が確認されており、日本国内の企業や団体も無関係ではありません。金融・政府機関・教育・エネルギーなど、あらゆる業種がターゲットになり得る中、早急な情報共有と対策が求められています。

本記事では、このSharePoint脆弱性の技術的な仕組みと発見の背景、攻撃の具体的な手法、そして被害を防ぐために今すぐ実施すべき対応策まで、体系的に解説していきます。社内のシステム管理者やセキュリティ担当者はもちろん、経営層や情報資産の利用者にとっても重要な内容となるはずです。

本稿を通じて、あなたの組織がサイバー攻撃のリスクに対してどのように備えるべきかを再確認し、実践的な防御行動につなげることを目指します。今この瞬間にも、SharePointを標的とした攻撃は進行しているかもしれません。対岸の火事と捉えず、自組織の防御力を高める契機としてください。

脆弱性の概要

今回発見された脆弱性は、Microsoft SharePoint Serverに存在する認証回避およびリモートコード実行（Remote Code Execution, RCE）の欠陥で、脆弱性識別番号は以下のとおりです：

• CVE-2025-53770：認証なしで任意コード実行が可能な致命的な脆弱性（CVSSスコア：9.8／10.0）
• CVE-2025-53771：関連するセキュリティ機構をバイパスする補助的な脆弱性

この脆弱性は、SharePointが内部的に使用する「ViewState」というシリアライズされたデータの取り扱いに起因しています。ViewStateはASP.NETアプリケーションにおいて、サーバーとクライアント間の状態管理を行うために用いられますが、その検証・復号処理において暗号鍵（MachineKey）を利用している点が悪用の起点となっています。

特徴的な点：

• 認証不要で攻撃が可能：攻撃者はユーザー認証を経ることなく、直接SharePointの内部機能にアクセスできます。
• リモートからの完全なコード実行：悪意のあるViewStateデータを送るだけで、任意のコマンドを実行できる状態になります。
• 持続的な侵害が可能：一度MachineKeyを入手されると、正規の通信に偽装した攻撃が継続的に可能になります。
• 被害が検知しづらい：一見正当なHTTPリクエストを装っており、従来のセキュリティ機構では検出が困難です。

これらの脆弱性は、2025年初頭に報告されたPwn2Ownコンテストで発見された「CVE-2025-49704／49706」に対するMicrosoftのパッチを巧妙に回避する形で出現したバリアントであり、「一度修正されたはずの問題が再燃した」という点でもセキュリティの難しさを象徴しています。

特に脅威となっているのは、オンプレミスで運用されているSharePoint Server環境です。クラウド版のMicrosoft 365環境はマイクロソフトによって自動保護される可能性がありますが、オンプレミス環境ではユーザー組織自身がパッチの適用や対策を担わなければなりません。

さらに、SharePointは単体で動作する製品ではなく、社内のドキュメント管理、ワークフロー、イントラネット、業務アプリケーション連携など、非常に多くの機密情報が集約されている基幹システムであるため、攻撃が成功した場合の被害範囲は極めて広範です。

このような理由から、今回の脆弱性は単なる技術的な問題ではなく、情報漏洩・業務停止・サプライチェーン攻撃に直結する重大インシデントとして、迅速かつ組織的な対応が求められています。

発見の経緯と背景

この脆弱性の根底にあるのは、2025年初頭に開催された著名なハッキングコンテスト「Pwn2Own Berlin 2025」での報告です。ここでセキュリティ研究者が、Microsoft SharePoint Serverに対してシリアライズの不備を突いたリモートコード実行攻撃を成功させ、「CVE-2025-49704」と「CVE-2025-49706」という脆弱性が認定されました。Microsoftはこれを受けて、数週間以内に緊急のセキュリティパッチをリリースし、問題は一旦「解決した」と見られていました。

しかし、事態はそれで収束しませんでした。複数の攻撃グループがこの修正に目をつけ、パッチの動作や保護ロジックを逆解析することで、回避手法（バイパス）を開発したのです。その結果、2025年7月中旬、まったく同じ脆弱性チェーンに対して新たに認定された「CVE-2025-53770」と「CVE-2025-53771」が明らかになりました。

つまり、本脆弱性は「完全な新種」というよりも、“パッチをかいくぐる新たな攻撃変種（バリアント）”である点が重要です。このような「パッチバイパス型ゼロデイ」は、修正されたはずの問題が再び表面化するため、組織としての油断を誘いやすく、特に危険です。

なぜSharePointが狙われるのか？

Microsoft SharePointは、多くの企業・行政機関において文書管理、ワークフロー、ナレッジ共有、グループウェアの中核を担うプラットフォームです。その性質上、以下のような特徴を持っています：

• 高い情報集積性：業務上の文書、顧客情報、社内マニュアルなど、機密情報が集中して保存されている。
• 可用性重視の運用：停止を避けるため、パッチ適用が後回しになりがち。
• 独自カスタマイズの多さ：多くの企業で独自の拡張や外部連携がされており、脆弱性の影響範囲が広がりやすい。

さらに、多くの組織でオンプレミス環境が残っており、クラウド型のMicrosoft 365と異なり、自社でのパッチ運用や構成管理が必要なため、攻撃者にとっては格好のターゲットとなっているのです。

攻撃の兆候が現れるまで

脆弱性の存在は、セキュリティ研究者やベンダーによって一部で注視されていましたが、実際に攻撃キャンペーンが活発化したのは2025年7月中旬。CrowdStrikeやPalo Alto Networks、Rapid7などのセキュリティベンダーがほぼ同時に実環境でのゼロデイ悪用の兆候を検知し、緊急アラートを発出しました。

中でもCrowdStrikeは、実際のマルウェア配布活動の中でSharePointへの侵入経路としてこの脆弱性が利用されていた事実を確認。それにより、本脆弱性は単なる概念実証（PoC）ではなく、リアルな攻撃キャンペーンの一部として“現場投入”されていることが裏付けられたのです。

このように、一度は塞がれたはずの入口が、別の鍵で再び開けられた形となっている現在、SharePointを運用するあらゆる組織が再点検を迫られているのが現状です。

攻撃の手法

今回の脆弱性「CVE-2025-53770／53771」を悪用した攻撃は、単一の技術的欠陥というよりも、複数の手口を組み合わせた“攻撃チェーン”として成立しています。ここでは、攻撃者がどのようなステップでSharePointサーバーを侵害し、持続的なアクセスを獲得するかを段階的に解説します。

ステップ1：認証バイパスによる不正アクセス

攻撃者はまず、/layouts/15/ToolPane.aspx というSharePoint内の特殊なエンドポイントに対して、細工されたHTTPリクエストを送信します。このリクエストには偽の Referer ヘッダー（例：/_layouts/SignOut.aspx）が含まれており、これによってSharePoint側の処理フローが意図せず短絡され、認証を通らずに内部機能へアクセスできてしまうのです。

この時点で、攻撃者は“匿名のまま”SharePointアプリケーションの一部に踏み込んでいます。

ステップ2：Webシェル（ASPXファイル）のアップロード

次に、攻撃者は ToolPane.aspx のバグを利用して、任意のASPXファイル（＝Webシェル）をSharePoint内にアップロードします。実際の攻撃事例では spinstall0.aspx という名称の悪意あるファイルが使用されました。

このファイルは一見すると正当な構成ファイルに見えますが、その内部ではPowerShellやコマンドプロンプトを介した命令実行機能が埋め込まれており、後続のステップで利用されます。

ステップ3：暗号鍵（MachineKey）の取得

ASPXファイルを実行することで、SharePointが内部的に保持するMachineKey（ValidationKey / DecryptionKey）をメモリや設定ファイルから抽出します。

この暗号鍵は、.NETアプリケーションがViewStateなどのシリアライズデータを暗号化・検証するために使われているもので、これを奪われると攻撃者は正当なシステムユーザーを偽装してViewStateを生成できるようになります。

この時点で、攻撃者はまるで「マスターキー」を手に入れた状態になります。

ステップ4：偽造ViewStateによる任意コード実行

奪取したMachineKeyをもとに、攻撃者は ysoserial.net などのツールを使って任意のコマンドを含んだViewStateデータを生成します。通常、このようなデータは改ざんされていればエラーとなるはずですが、すでに正規の鍵を持っているため、サーバー側は問題なく処理してしまいます。

これにより、以下のようなコマンドをSharePointサーバーで実行可能になります：

• ファイルのダウンロードやアップロード
• 新たなWebシェルの設置
• 追加のアカウント作成
• 外部C2サーバーとの通信開始

実質的に、サーバーは完全に乗っ取られた状態になります。

ステップ5：持続的アクセスとステルス化

最終段階では、攻撃者はサーバー上にバックドアを設置したり、Windowsのタスクスケジューラやサービス機構を悪用して永続的なアクセス経路を確保します。

さらに、侵入を隠すためにログを改ざんしたり、WAFやEDRを回避するような通信方式に切り替えるなどのステルス化技術も用いられる場合があります。

攻撃チェーンのまとめ

[1] 認証不要の不正リクエスト送信
       ↓
[2] Webシェル(ASPXファイル)のアップロード
       ↓
[3] 暗号鍵(MachineKey)の取得
       ↓
[4] 偽造ViewStateの送信と任意コード実行
       ↓
[5] バックドア設置と持続的侵害

---

なぜ検知が難しいのか？

この攻撃チェーンの厄介な点は、全体の流れがあたかも正当なASP.NET処理に見えることです。たとえば、ToolPane.aspxへのPOSTリクエストや、ViewStateを含むHTTPレスポンスは通常のSharePoint動作にも存在するため、境界型のセキュリティ（WAFなど）では見逃されがちです。

また、PowerShellやcmdの実行は「システム管理者が実施した操作」として誤認されることもあり、EDRを使っていても検出や調査が遅れるリスクがあります。

実際の被害事例における特徴

• w3wp.exe（IISのプロセス）から cmd.exe、さらに powershell.exe へのプロセス連携が発生している
• SharePointのログに、同一IPから異常に多くのViewState関連リクエストが記録されている
• spinstall0.aspx のような見慣れないファイルが SharePoint の一時ディレクトリに存在している

これらの兆候に少しでも心当たりがある場合は、すでに侵害されている可能性が高いと考え、即座に調査・対応を行う必要があります。

---

このように、今回の攻撃は非常に緻密に設計されており、しかも既知の構造を利用しているため、既存のセキュリティ対策をすり抜けやすいという点が最大の脅威です。単なる“穴”ではなく、“正規の扉を偽鍵で開けてくる”ようなイメージで捉えるべきでしょう。

被害状況と対象範囲

今回のSharePointゼロデイ脆弱性「CVE-2025-53770／53771」は、すでに実際の攻撃キャンペーンに利用されており、世界中で被害が拡大しています。従来の脆弱性と異なり、検出が難しく、企業・団体側が侵害を受けていることに気づかないまま、水面下で情報流出やバックドア設置が進行している可能性が高いのが大きな特徴です。

想定される被害の内容

この脆弱性が悪用された場合、以下のような被害が発生するおそれがあります：

• 情報漏洩：SharePoint上に保管された機密文書・契約書・設計資料・顧客情報などの大量流出
• 業務システムの改ざん・停止：ワークフローや業務アプリケーションに不正アクセスが行われ、業務プロセスが中断
• 社内ネットワークへの横展開（ラテラルムーブメント）：SharePointサーバーを足掛かりに他のシステムへの侵入
• ランサムウェア感染やC2通信の開始：外部サーバーと不正通信を確立し、身代金要求や継続的スパイ活動を行う
• 信用失墜・訴訟リスク：顧客情報やパートナーとの契約書が漏洩した場合、社会的信用の喪失や法的責任が問われる

特に、SharePointは業務のハブとして様々なシステムやユーザーと連携しているため、単なる1サーバーの侵害にとどまらない影響範囲の広さが懸念されます。

実際に確認されている攻撃キャンペーン

CrowdStrikeやPalo Alto Networksなどのセキュリティベンダーは、2025年7月中旬以降、複数の組織でこの脆弱性を利用した攻撃の痕跡を確認したと報告しています。具体的には、以下のような業種・組織が被害を受けたとされます：

• 金融機関（国内外の大手銀行、保険会社など）
• 製造業・エネルギー企業（インフラ関連、海外プラント事業）
• 教育機関・大学（研究データや個人情報が集中する環境）
• 政府・自治体・公共団体（文書共有や決裁フローにSharePointを利用）
• 医療機関・ヘルスケア（電子カルテや医療ドキュメント連携）

特に、政府系・金融系・研究機関といった、国家的に重要なデータを保持しているセクターが標的になっている点は、高度標的型攻撃（APT）との関連も示唆されています。

また、攻撃者グループによっては、これらの侵害を初期アクセスとして利用し、後続のランサムウェア展開や情報収集活動へとつなげているケースも確認されています。

対象範囲：影響を受けるSharePointバージョン

この脆弱性の影響を受ける主な製品は以下のとおりです：

製品バージョン	対象	パッチの提供状況（2025年7月現在）
SharePoint Server 2016	✅ 対象	❌ パッチ未提供
SharePoint Server 2019	✅ 対象	✅ KB5002754 が提供済み
SharePoint Server Subscription Edition	✅ 対象	✅ KB5002768 が提供済み
SharePoint Online（Microsoft 365）	❌ 非対象	クラウドで保護されており問題なし

特に注意すべきは、SharePoint Server 2016環境です。パッチ未提供の状態が続いており、かつ利用ユーザー数も多いため、“攻撃者にとって最も効率的な標的”となっている可能性が高いと見られます。

侵害が疑われる兆候（IOC）

• ToolPane.aspx への不審なPOSTリクエスト（Referer: SignOut.aspx）
• spinstall0.aspx など未知のASPXファイルがディレクトリ内に存在
• w3wp.exe → cmd.exe → powershell.exe のプロセスチェーン
• 異常に大きなViewStateや不正なシリアライズデータの送受信ログ

これらの兆候がシステムログやEDR、WAF、SIEMに記録されている場合は、すでに侵害を受けている可能性を強く疑うべきです。

なぜこの被害は広がったのか？

• 認証が不要なため防御線が最初から無効
• 従来のWAFやアンチウイルスでは検出困難
• 多くの企業でパッチ適用が遅れがち
• システム管理者が異常に気づきにくい攻撃手法
• 攻撃グループ間でツールが共有・拡散されている

こうした要因が重なった結果、攻撃者にとって非常に“使いやすいゼロデイ”として拡散し、攻撃規模は今なお拡大し続けているのが現状です。

緊急対応策

今回の脆弱性「CVE-2025-53770／53771」は、既に実際の攻撃で悪用されているゼロデイ脆弱性であるため、「様子を見る」という選択肢は存在しません。SharePoint Serverを運用している組織は、すぐにでも以下の緊急対応策を検討・実施する必要があります。

ここでは、対応の優先度ごとに段階的なアクションを整理して紹介します。

1. パッチの適用（最優先）

まず最優先で実施すべきは、Microsoftが提供している公式セキュリティパッチの適用です。今回の脆弱性に対して、以下のバージョン向けに修正プログラムが提供されています：

製品バージョン	対応パッチ	公開日	備考
SharePoint Server Subscription Edition	KB5002768	2025年7月中旬	修正済み
SharePoint Server 2019	KB5002754	2025年7月中旬	修正済み
SharePoint Server 2016	✕	未提供（2025年7月現在）	回避策の検討が必要

✅ 実施ポイント

• 影響のあるバージョンを特定し、できる限り速やかにパッチを適用する。
• パッチ適用前には、バックアップ取得とステージング環境での事前検証を推奨。
• 複数ノード構成の場合はローリングアップデートで対応可能。

※ 2025年7月現在、SharePoint Server 2016にはまだパッチが提供されていないため、以下の緩和策を必ず併用してください。

2. 緩和策の導入（パッチ未適用環境・追加保護）

パッチが適用できない環境や、より強固なセキュリティ対策を希望する場合には、以下の緩和策が推奨されます：

🔧 AMSI（Antimalware Scan Interface）の有効化

• Windowsに標準搭載されているAMSIを有効にすることで、不正なPowerShell実行などのコード実行を検知・阻止可能。
• Microsoft Defender Antivirus などのAMSI対応ソリューションと組み合わせると効果的。

🔐 MachineKeyのローテーション

• ViewState改ざんを可能にする鍵（ValidationKey／DecryptionKey）を再生成・再配置する。
• 攻撃者に鍵を奪取された可能性がある場合、速やかな更新が必須。

🌐 公開サーバーの隔離

• インターネットに直接公開されているSharePoint環境については、一時的にアクセスを制限または遮断し、脆弱性が解消されるまで閉鎖も検討。

⚠️ Webアクセスの制御

• ToolPane.aspx やその他の怪しいエンドポイントへのアクセスを IISのIP制限やWAFで制御。
• spinstall0.aspx など不審なファイル名のリクエストログがないかを定期監視。

3. 侵害の有無を調査（被害の可能性がある場合）

SharePoint Serverが既に攻撃されている可能性があると疑われる場合は、以下のインシデント対応フローに従い、迅速な内部調査を実施してください：

🔍 ログの確認

• ToolPane.aspx への不審なPOSTリクエストの有無
• Referer: /_layouts/SignOut.aspx を伴うアクセス
• spinstall0.aspx 等のアップロード痕跡

🔗 プロセス連携の追跡

• w3wp.exe → cmd.exe → powershell.exe というプロセスチェーンが実行されていないかをEDRやログで確認。

📁 ファイル改ざんの有無

• Webルート配下に不審な .aspx ファイルが存在しないかチェック。
• ファイル改変日時の急変や、予期せぬスクリプトの混入にも注意。

4. 持続的防御の構築（再発防止）

今回の脆弱性は、技術的な修正にとどまらず、組織のセキュリティ体制そのものの見直しを迫る内容です。以下のような対策を中長期的に講じることが望まれます：

🧰 セキュリティ製品の見直し

• EDR／XDR（例：CrowdStrike Falcon, Microsoft Defender for Endpoint）の導入
• WAF（Web Application Firewall）のチューニングと監視強化

🔄 セキュリティ運用体制の強化

• 脆弱性管理の定期サイクル化
• パッチ適用のSLA（サービスレベル合意）策定
• 変更管理と構成管理（CMDB）の整備

🧪 脅威エミュレーションやペネトレーションテストの実施

• Red Team／Blue Team演習を通じて実戦的な防御体制を検証・改善

5. 関係者・組織への報告・連携

• システム担当者だけでなく、CIO／CISO／経営層への報告を速やかに実施
• 関連するベンダーやクラウド連携先とも脆弱性共有と対応状況の確認
• 必要に応じてIPA／JPCERT／MSRCなどへインシデント報告

✅ 対応チェックリスト（簡易まとめ）

対策項目	実施状況
公式パッチの適用	☐ 実施済／☐ 未実施
MachineKeyの再生成	☐ 実施済／☐ 未実施
AMSI・Defender有効化	☐ 実施済／☐ 未実施
ToolPaneへのアクセス制御	☐ 実施済／☐ 未実施
不審なログ・ファイルの調査	☐ 実施済／☐ 未実施
関係者への状況共有	☐ 実施済／☐ 未実施

脆弱性に対する防御は「待つ」のではなく、「動く」ことが肝心です。特にオンプレミス環境においては、クラウドサービスと異なり自らが最後の砦となる意識が必要です。今すぐ対応を開始し、被害拡大を防ぎましょう。

検出とモニタリングのポイント

今回のSharePointゼロデイ脆弱性（CVE-2025-53770／53771）は、表面的には正常な通信に見えるという点が大きな特徴です。従来のシグネチャベースのセキュリティ製品では検出が難しく、実際に多くの組織が侵害に気づかず長期間放置していた可能性があります。

そのため、組織としては「攻撃を未然に防ぐ」ことと同時に、侵害の兆候をいかに早く検出するかが極めて重要です。本章では、システム管理者やSOC（セキュリティオペレーションセンター）が注視すべき具体的な検出ポイントを紹介します。

1. 不審なリクエストの監視

攻撃は、通常のHTTPリクエストを装って開始されます。特に注目すべきなのは、以下のようなリクエストパターンです：

• エンドポイント：/layouts/15/ToolPane.aspx への POST リクエスト
• Referer ヘッダー：/_layouts/SignOut.aspx が含まれている
• User-Agent が PowerShell／curl／Python スクリプトのような自動化ツールになっている場合

これらは、SharePointの通常運用ではあまり見られないアクセスであり、異常挙動として検出・アラート化すべきです。

2. Webシェルの展開検知

多くの攻撃事例で、spinstall0.aspx などの悪意あるASPXファイル（Webシェル）がSharePointのフォルダ内に設置されていました。検出の観点では以下のような点を重点的に確認します：

• /layouts/15/ 以下や一時ディレクトリに .aspx ファイルが新規追加されていないか
• ファイル名に “install”、”shell”、”cmd”、”debug” といったキーワードが含まれていないか
• ファイルのアップロード日時が業務時間外や深夜帯に集中していないか

ファイル整合性監視（FIM）やファイルアクセス監査ログの活用が有効です。

3. プロセス連携（プロセスチェーン）の分析

攻撃が成功すると、SharePointのWebアプリケーションプロセス（w3wp.exe）から以下のようなプロセス連鎖が発生します：

w3wp.exe → cmd.exe → powershell.exe

この連携は通常のSharePoint動作では極めて異常であり、EDR（Endpoint Detection & Response）やSysmonを用いたプロセス監視で即時検知可能です。

さらに：

• PowerShellで「Base64デコードされたコマンド」が実行されていないか
• 外部C2（Command & Control）への接続試行（TCP/443やDNSトンネリングなど）がないか

といったビヘイビア分析（ふるまい検知）が効果を発揮します。

4. ViewState改ざんの兆候

本脆弱性は、.NETアプリケーションのViewStateを悪用したペイロード注入によって任意コードが実行されます。ViewStateは通常、暗号化された長い文字列としてHTTPリクエストまたはレスポンスに含まれますが、以下の点に注目することで不正使用を検出できる可能性があります：

• ViewStateが異常に大きい（数KB以上）
• 過去の通信と比較して長さや形式が不自然に変化している
• アクセス頻度が急激に増加している

一部のWAFやSIEMで、ViewState長の閾値をアラート化するルールを組むことで検知精度を向上させられます。

5. エンドポイントログと統合ログ分析（SIEM）

EDRやWAF単体では見落とす可能性があるため、複数のログソースを相関分析するSIEM（例：Splunk, Azure Sentinel, QRadar） の導入・活用が強く推奨されます。組み合わせるべき主なログは：

• IISアクセスログ（不審なエンドポイント／POSTリクエストの確認）
• SharePoint ULSログ（ViewState処理やファイル操作の異常）
• Windowsイベントログ（プロセス生成やPowerShellの使用履歴）
• EDRアラートログ（スクリプト実行、レジストリ操作、不審な通信）

これらを日・週単位でレポート出力し、平常時との乖離を定点観測することで、初期侵害の兆候を早期に把握できます。

6. IOC（Indicators of Compromise）の活用

各セキュリティベンダー（Trend Micro、CrowdStrike、Palo Alto等）は、攻撃に関連する**IOC（侵害指標）**を公開しています。以下のようなIOCを照合することで、既に攻撃を受けていないかを確認可能です：

• 悪意あるASPXファイルのハッシュ値（SHA256）
• 外部C2サーバーのIPアドレス／ドメイン名
• PowerShellコマンドの断片やBase64文字列パターン

IOCは定期的に更新されるため、最新の情報を入手し、内部ログと照合するルールを自動化する仕組みがあると理想的です。

まとめ：検知は「人＋仕組み」の両輪で

この脆弱性のように、通常の通信フローに巧妙に溶け込むタイプの攻撃に対しては、「自動検知に100%依存する」ことはリスクを伴います。日々の行動ベースの異常検知（UEBA）や、SOCメンバーの目視による定期的なログレビューも有効です。

「脆弱性は0dayでも、異常な挙動は隠せない」

この考え方を軸に、多層的かつ継続的なモニタリング体制を整備することが、侵害リスクの最小化につながります。

今後の展望と教訓

今回のSharePointにおけるゼロデイ脆弱性（CVE-2025-53770／53771）は、単なる「一製品のバグ」ではなく、現代のITインフラ全体が抱える構造的な脆弱性と、セキュリティ運用上の課題を浮き彫りにした事例といえます。今後、同様のリスクを回避するためには、技術的な対応だけでなく、組織的・文化的な観点からも教訓を整理し、次なる備えへと昇華させていくことが重要です。

1. パッチ適用だけでは守れない時代

多くの組織では、「パッチを当てれば安全」という考えが未だに根強く残っています。しかし今回のケースでは、既存のパッチ（CVE-2025-49704/49706）が攻撃者にバイパスされた結果、再び脆弱性が露呈したという構図になっています。

つまり、単にベンダーの修正を待つだけでは攻撃のスピードに追いつけません。これからの時代は以下が求められます：

• 構成レベルでの防御策（Defense-in-Depth）の導入
• 脆弱性の「周辺構造」への理解と運用設計
• パッチ適用の高速化だけでなく、適用後の検証プロセスの定着

2. オンプレミス環境の“サイレントリスク”

クラウドシフトが進む一方で、今回被害に遭ったのは主にオンプレミス環境のSharePointでした。クラウドであれば、Microsoft側が脆弱性の検知や自動修正を行うことも期待できますが、オンプレミスでは全ての責任が利用者側にあるため、対応の遅れが命取りになります。

とくに問題なのは以下のような組織文化です：

• 「重要システムなのでパッチ適用を遅らせている」
• 「影響調査に時間がかかるので、毎月のセキュリティ更新が後手に回っている」
• 「システムベンダーに任せているので中身は見ていない」

これらは一見合理的に思えても、ゼロデイ攻撃という“例外事象”の前では重大なリスクファクターとなります。

3. セキュリティ運用体制そのものの再構築

今回の脆弱性を契機として、以下のような中長期的な体制強化が求められます：

• セキュリティの責任を“IT部門だけ”に閉じない（経営層・利用部門・ベンダー間での明確な役割分担）
• 脆弱性管理の自動化と可視化（資産管理＋脆弱性スキャンの継続的統合）
• SOC（セキュリティ運用センター）機能の内製化・外部委託による監視体制の確立
• CIS ControlsやNIST CSFなど国際基準に基づいたフレームワークの適用

また、「セキュリティ対策はコスト」ではなく「事業継続の前提」として再認識することが、経営レベルでの合意形成につながります。

4. 人材・文化・スピードのギャップ

サイバー攻撃は日々進化していますが、それに追従できる人材と運用文化が不足しているという現実があります。

• セキュリティ担当者が“1人しかいない”
• スクリプトやログ分析ができる人材が社内にいない
• インシデントが発生しても対応フローが曖昧で時間がかかる

こうしたギャップを埋めるためには、次のような取り組みが有効です：

• 社内のIT教育の強化：セキュリティは専門職だけの仕事ではないという意識付け
• インシデント演習の定期実施：実戦想定での初動確認
• 自動化ツールの活用：人的リソースに依存しない初期対応体制の構築

5. 「透明性」と「信頼」が企業価値を左右する時代へ

もし万が一、今回のような脆弱性を突かれて情報漏洩や侵害が起きてしまった場合、どのように対外的に説明・報告するかも企業の信頼を大きく左右します。

• 被害の公表を遅らせる
• 不正アクセスの可能性を過小評価する
• 技術的な説明や再発防止策が曖昧

こうした対応は、顧客・取引先・社会からの信用を大きく損ねる可能性があります。逆に言えば、「迅速かつ透明な説明」「誠実な対応」「技術的裏付けのある改善策」を示せれば、危機を信頼強化のチャンスに変えることすら可能です。

おわりに

本記事では、Microsoft SharePoint Serverに発見された深刻なゼロデイ脆弱性「CVE-2025-53770／53771」について、技術的な仕組みから実際の攻撃手法、被害の広がり、緊急対応策、そして今後の教訓までを包括的に解説してきました。

この脆弱性が私たちに突きつけた現実は明白です。それは、「セキュリティ対策は製品アップデートだけでは不十分であり、継続的な運用と組織の覚悟が不可欠である」ということです。しかも今回のように、すでに修正されたはずの脆弱性のバリアントが再び実戦投入されるようなケースでは、技術的な優位性だけでは防ぎきれない部分もあることを認識する必要があります。

特にSharePointのような、業務の中核を支えるプラットフォームに対する攻撃は、単なる「情報システムの不具合」では済まされません。業務の停滞、取引先への信頼失墜、個人情報保護違反による制裁など、企業活動そのものに重大な影響を及ぼすリスクをはらんでいます。

したがって、本脆弱性の教訓は次のように総括できます：

• ITインフラの構成を理解し、脆弱性の影響範囲を即時に把握できる体制を整えること
• パッチ適用や鍵の更新といった技術的対応を“例外”ではなく“習慣”として定着させること
• 日々のモニタリングやログ分析を継続的に行い、小さな異常に気づける目を育てること
• セキュリティ対応を“コスト”ではなく“信用維持の投資”と捉える組織文化を築くこと

また、今回の件を「一時的な出来事」として流してしまえば、次のゼロデイ攻撃にまた同じように無防備な状態で晒されることになりかねません。むしろこれを契機に、社内のセキュリティ運用を一段階引き上げるチャンスと捉えることが、真にリスクを最小化する道だと言えるでしょう。

セキュリティは「完璧」を求めるのではなく、「進化し続ける」ことが重要です。攻撃者が進化する以上、私たちの守りもまた日々アップデートされ続けなければなりません。

最後に、この記事をきっかけに、1人でも多くの管理者・開発者・経営者が「自組織の守りは十分か？」と問い直し、必要なアクションを一歩踏み出していただければ幸いです。

📚 参考文献

• Customer Guidance for SharePoint Vulnerability CVE-2025-53770
  https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
• CVE-2025-53770 – Zero-day exploitation in the wild of Microsoft SharePoint Servers
  https://www.rapid7.com/blog/post/etr-zero-day-exploitation-of-microsoft-sharepoint-servers-cve-2025-53770/
• Proactive Security Insights: CVE-2025-53770 and CVE-2025-53771 in SharePoint Attacks
  https://www.trendmicro.com/en_us/research/25/g/cve-2025-53770-and-cve-2025-53771-sharepoint-attacks.html
• CrowdStrike Detects and Blocks Widespread SharePoint Zero-Day Exploitation
  https://www.crowdstrike.com/en-us/blog/crowdstrike-detects-blocks-sharepoint-zero-day-exploitation/
• Active Exploitation of Microsoft SharePoint Vulnerabilities: Threat Brief by Unit42
  https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/
• Critical Microsoft SharePoint Flaw Exploited in the Wild — CVE-2025-53770
  https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html
• Arctic Wolf Advisory: CVE-2025-53770 SharePoint Exploit Guidance
  https://arcticwolf.com/resources/blog/cve-2025-53770/