defense-in-depth | TECH NOTE

AIを悪用したゼロデイ攻撃とAI-DRによる防御の最前線

ここ数年、サイバー攻撃の様相は大きく変化しています。その背景にあるのが AIの悪用 です。これまで攻撃者が手作業で時間をかけて行っていた脆弱性探索や攻撃コード生成、標的の選定といった作業は、AIの登場によって一気に効率化されました。とりわけ、公開されていない未知の脆弱性を突く ゼロデイ攻撃 にAIが活用されるケースが増えており、防御側にとって従来以上に難しい状況が生まれています。

従来のセキュリティ製品は「既知のシグネチャ」や「過去の攻撃パターン」に依存してきました。しかしゼロデイ攻撃は定義上、まだ知られていない脆弱性を狙うため、シグネチャベースの防御が機能しません。AIが関与することで、攻撃コードの作成スピードは劇的に向上し、被害が発生するまでの時間はさらに短縮されつつあります。

このような環境下で、防御側もAIを取り入れた新しい枠組みを整備しなければ、攻撃のスピードに追いつけません。そこで登場したのが AI-DR（AI Detection & Response） です。これはAIを利用して攻撃の兆候を早期に捉え、迅速に封じ込めを図るための仕組みであり、未知の攻撃やゼロデイに対抗するための有力なアプローチとして注目されています。

AI-DRとは何か

AI-DRは、AIを用いて「脅威の検知（Detection）」と「対応（Response）」を自動または半自動で行う仕組みを指します。従来のセキュリティ対策は、既知の攻撃パターンをもとに検知する「受動的な守り」に依存していました。しかし、ゼロデイ攻撃のように前例がなくパターン化されていない脅威に対しては、既存の仕組みでは対応が困難です。AI-DRはこの課題を補うために生まれた考え方であり、「未知の脅威をリアルタイムで見つけ出し、即座に封じ込める」ことを狙いとしています。

AI-DRの特徴は、攻撃の痕跡ではなく振る舞いそのものを監視する点 にあります。例えばユーザの通常行動と大きく異なるアクセスパターン、システム内で急激に増加する異常プロセス、通常では通信しない先への接続などをAIモデルが学習し、異常と判断すれば即座にアラートや隔離処理が実行されます。これは、未知のゼロデイ攻撃であっても「結果として現れる不自然な挙動」を基準に検知できる点で強力です。

さらにAI-DRは、単に脅威を検知するだけでなく、レスポンスの自動化 を重視しています。従来は人間の判断を待たなければならなかった対応（端末の隔離、アカウントの停止、アクセス権限の剥奪など）が、自動またはセミオートで実行され、被害の拡大を防ぐことができます。

主な機能

異常検知：ユーザ行動やプロセスの動きを学習し、通常と異なる挙動を検出
自動応答：検知した端末の隔離、アカウント停止、ログ収集などを自動実行
脅威インテリジェンス統合：外部の攻撃情報を取り込み、モデルを継続的に更新
可視化と説明性：なぜ異常と判断したのかを提示し、運用者が対応を判断できるよう支援

このようにAI-DRは、ゼロデイ攻撃を含む未知の脅威に対抗するための「次世代型セキュリティアプローチ」として注目されています。

具体的な製品例

AI-DRの考え方はすでに複数の製品に取り入れられており、市場には実際に利用可能なサービスが登場しています。以下では代表的な例を挙げ、それぞれの特徴を解説します。

HiddenLayer AI Detection & Response ジェネレーティブAIやエージェントAIを利用する企業向けに特化した防御製品です。LLMを狙ったプロンプトインジェクション、機密データの漏洩、モデル盗用、特権昇格といった新しい攻撃ベクトルに対応しています。AIアプリケーションを安全に運用することを重視しており、従来のセキュリティ製品ではカバーできなかった領域を補完します。生成AIを業務に組み込んでいる企業にとっては特に有効です。
Vectra AI Platform ネットワークとクラウド環境を横断的に監視し、攻撃の進行をリアルタイムで可視化します。既知のマルウェアや脆弱性を狙う攻撃だけでなく、ゼロデイを利用した横展開（ラテラルムーブメント）や権限濫用を検知するのが強みです。大規模なクラウド利用環境やハイブリッドネットワークを持つ企業での導入事例が多く、SOCチームのアラート疲労を軽減する仕組みも提供します。
CrowdStrike Falcon エンドポイント保護（EPP）とEDRの統合製品として広く普及しており、AIを活用して異常な挙動を早期に検知します。シグネチャに依存せず、未知のプロセスや不自然な権限昇格を検知できるため、ゼロデイ攻撃の挙動を捕捉する可能性があります。中小規模の組織から大企業まで幅広く利用され、クラウド経由で即時にアップデートされる点も強みです。
Trend Vision One（トレンドマイクロ） 既知・未知の攻撃に備えるための統合プラットフォームです。エンドポイント、メール、クラウド、ネットワークなど複数のレイヤーを一元的に監視し、攻撃の進行を早期に可視化します。特に日本国内では導入実績が多く、ゼロデイ対策に加えて標的型攻撃やランサムウェアの初動段階を封じ込める仕組みを持ちます。
Secureworks Taegis XDR 「Extended Detection & Response」として、複数のセキュリティ製品から収集したログを統合的に分析し、脅威を浮き彫りにします。AIによる相関分析を活用し、単発では見逃されがちな攻撃の兆候を組み合わせて検知できる点が特徴です。特に自社にSOCを持たない組織でも、クラウド型で利用できるため導入のハードルが低いのが利点です。

製品群の共通点

これらの製品はいずれも「シグネチャに依存せず、振る舞いや異常パターンに注目する」点で共通しています。さらに、自動応答やインシデントの可視化といった機能を備えており、従来のセキュリティ運用を効率化するとともにゼロデイ攻撃への耐性を高めています。

攻撃は一歩先を行く現実

AI-DRのような新しい防御技術が登場している一方で、攻撃者の進化もまた加速しています。特に注目すべきは、攻撃者がAIを積極的に利用し始めている点です。

従来、ゼロデイ攻撃には脆弱性の解析やエクスプロイトコードの作成といった高度な専門知識が必要であり、時間も労力もかかりました。しかし現在では、AIツールを活用することでこれらのプロセスが自動化され、短時間で多数の脆弱性を検証・悪用できるようになっています。例えば、セキュリティ研究者向けに提供されたAIフレームワークが、脆弱性探索から攻撃実行までをほぼ自律的に行えることが確認されており、本来の用途を逸脱して攻撃者に悪用されるリスクが現実化しています。

また、攻撃のスケーラビリティが格段に向上している点も大きな脅威です。かつては一度に限られた数の標的しか攻撃できませんでしたが、AIを使えば膨大な対象に同時並行で攻撃を仕掛けることが可能になります。脆弱性スキャン、パスワードリスト攻撃、フィッシングメール生成などが自動化されることで、攻撃の規模と頻度は防御側の想定を超えるスピードで拡大しています。

防御側が後手に回りやすい理由は、次の3点に集約できます。

情報公開の遅れ：ゼロデイはパッチが提供されるまで防御手段が限られる。
人間の判断の必要性：AI-DR製品が自動応答を備えていても、誤検知を避けるため人の承認を前提にしているケースが多い。
リソース不足：特に中小企業では高度なSOCや専門人材を持てず、攻撃スピードに対応できない。

結果として、「製品は存在するが攻撃の方が一歩先を行く」という状況が続いています。つまり、防御側がAIを導入して強化しても、攻撃者もまた同じAIを利用して優位を保とうとしている構図です。

現在とれる現実的な対策

ゼロデイ攻撃を完全に防ぐことは不可能に近いですが、「いかに早く気付き、被害を最小化するか」 という観点で現実的な対策を取ることは可能です。攻撃の自動化・高速化に対応するため、防御側も多層的な仕組みと運用を組み合わせる必要があります。

1. 技術的対策

多層防御（Defense in Depth）の徹底 単一のセキュリティ製品に依存せず、EPP（エンドポイント保護）、EDR/XDR（検知と対応）、WAF（Webアプリケーション防御）、ネットワーク監視を組み合わせて防御網を構築します。
異常挙動ベースの検知強化 シグネチャに頼らず、AIや行動分析を活用して「いつもと違う動き」を見つけ出す。ゼロデイの多くは未知の挙動を伴うため、これが突破口になります。
仮想パッチとIPSの活用 パッチ提供までの時間差を埋めるため、IPS（侵入防御システム）やWAFで疑わしい通信を遮断し、ゼロデイ攻撃の直接的な侵入を防ぎます。
SBOM（ソフトウェア部品表）の管理 利用中のソフトウェアやOSSライブラリを把握しておくことで、脆弱性が公開された際に即座に影響範囲を確認できます。

2. 運用的対策

インシデント対応計画（IRP）の整備 感染が疑われた際に「隔離→調査→復旧→報告」の流れを事前に定義し、机上演習や模擬訓練を実施。緊急時の混乱を防ぎます。
自動応答ルールの導入 例：異常検知時に端末を自動隔離、アカウントを一時停止。誤検知のリスクを減らすために「半自動（承認後実行）」の運用も有効です。
パッチ適用ポリシーの厳格化 ゼロデイの多くは短期間で「ワンデイ（既知の脆弱性）」に移行するため、公開後のパッチ適用をどれだけ迅速にできるかが鍵です。

3. 組織的対策

脅威インテリジェンスの活用 JPCERT/CC、US-CERT、ベンダーの提供する脅威情報を購読し、最新の攻撃動向を把握して早期対処につなげる。
SOC/MSSの利用 自社に専門チームを持てない場合、外部のセキュリティ監視サービス（MSSP）を利用して24/7の監視体制を整備します。
人材教育と意識向上 社員向けフィッシング訓練やセキュリティ教育を継続的に行うことで、ヒューマンエラーを減らし、AIを悪用した攻撃の初動を防ぐことができます。

4. システム設計面の工夫

ゼロトラストアーキテクチャの導入 ネットワークを信頼せず、アクセスごとに検証する仕組みを整えることで、侵入を前提にした被害局所化が可能になります。
マイクロセグメンテーション ネットワーク内を細かく分割し、攻撃者が横展開できないように制御します。
セキュア開発ライフサイクル（SDL）の徹底 開発段階からコードレビューや静的解析を組み込み、潜在的な脆弱性を減らすことが長期的な防御に直結します。

中小企業における最低限の対策

IT投資に大きな予算を割けない中小企業であっても、ゼロデイ攻撃やAIを悪用した攻撃に備えることは可能です。重要なのは「高額な先端製品を導入すること」よりも、基本を徹底して攻撃者にとって狙いにくい環境を整えること です。以下に最低限取り組むべき施策を挙げます。

1. 基盤のセキュリティ衛生管理

OS・ソフトウェアの即時更新 WindowsやmacOS、Linuxなどの基本OSだけでなく、ブラウザや業務ソフトも含めて常に最新版に維持します。ゼロデイが公開された後は数日のうちに「既知の脆弱性」となり、攻撃が集中するため、更新のスピードが最大の防御策になります。
不要なサービス・アカウントの停止 使われていないアカウントや古いソフトは攻撃の温床となるため、定期的に棚卸して削除します。

2. アクセス制御の強化

多要素認証（MFA）の導入 特にメール、クラウドサービス、VPNへのアクセスには必須。コストは低く、乗っ取り攻撃の大部分を防げます。
最小権限の原則（Least Privilege） 社員が必要最小限の権限しか持たないように設定し、管理者権限を常用させない。

3. データ保護

定期的なバックアップ（オフライン含む） クラウドバックアップに加え、USBやNASに暗号化したバックアップを取り、ネットワークから切り離して保管します。ランサムウェア対策として不可欠です。
復旧手順の確認 バックアップを取るだけでなく、実際に復旧できるかを年に数回テストしておくことが重要です。

4. クラウドと標準機能の最大活用

クラウドサービスのセキュリティ機能を利用 Microsoft 365 や Google Workspace には標準でメールフィルタやマルウェア対策が備わっています。外部製品を買わなくても、これらを正しく設定すれば十分な防御効果があります。
ログとアラートの有効化 無料または低コストで提供されているログ機能を有効化し、不審な挙動を確認できる体制を整えます。

5. エンドポイント対策

基本的なエンドポイント保護ソフトの導入 Windows Defenderのような標準機能でも無効化せず活用することが重要です。追加予算がある場合は、中小企業向けの軽量EDR製品を検討しても良いでしょう。

6. 社員教育と簡易ルール作成

フィッシング対策教育 メールの添付ファイルやリンクを不用意に開かないよう定期的に啓発。AIで生成された巧妙なフィッシングも増えているため、特に注意が必要です。
インシデント対応ルール 「怪しい挙動に気付いたらLANケーブルを抜く」「管理者にすぐ連絡する」といったシンプルな行動指針を全員に共有しておくことが被害拡大防止につながります。

まとめ

中小企業にとっての現実的な防御は、「高価なAI-DR製品の導入」ではなく「基本の徹底＋クラウド活用＋最低限のエンドポイント対策」 です。これだけでも攻撃の大半を防ぎ、ゼロデイ攻撃を受けた場合でも被害を局所化できます。

おわりに

AIの進化は、防御者と同じだけ攻撃者にも力を与えています。特にゼロデイ攻撃の分野では、AIを活用することで攻撃準備の時間が大幅に短縮され、従来では限られた高度な攻撃者だけが可能だった手法が、より多くの攻撃者の手に届くようになりました。これにより、企業規模や業種を問わず、あらゆる組織や個人が標的になり得る時代が到来しています。

防御側もAI-DRといった新しい技術を取り入れ、検知と対応のスピードを高めていく必要があります。しかし、それと同時に忘れてはならないのは、セキュリティの基本を徹底すること です。システムを常に最新に保つ、多要素認証を導入する、バックアップを備える、といった取り組みはどの規模の組織にとっても現実的かつ有効な防御策です。

AIが攻撃を容易にする現状において重要なのは、「自分たちは狙われない」という思い込みを捨てることです。むしろ、誰もが標的になり得るという前提で日々のセキュリティ運用を行う姿勢 が求められます。AIがもたらす利便性と同じくらい、そのリスクを理解し、備えを怠らないことが今後のサイバー防御における鍵となるでしょう。

参考文献

AI hacking tool exploits zero-day security vulnerabilities in minutes
https://www.artificialintelligence-news.com/news/ai-hacking-tool-exploits-zero-day-security-vulnerabilities-in-minutes
New AI-powered HexStrike tool is being used to target multiple Citrix security flaws
https://www.techradar.com/pro/security/new-ai-powered-hexstrike-tool-is-being-used-to-target-multiple-citrix-security-flaws
Trend Micro: State of AI Security Report (1H 2025)
https://www.trendmicro.com/vinfo/us/security/news/threat-landscape/trend-micro-state-of-ai-security-report-1h-2025
John Watters: AI cyberattacks and defense (Axios)
https://www.axios.com/2025/09/09/john-watters-ai-cyberattacks-defense
Defending Against AI-Enabled One-Day and Zero-Day Vulnerability Exploits (Acalvio)
https://www.acalvio.com/active-defense/defending-against-ai-enabled-one-day-and-zero-day-vulnerability-exploits
HiddenLayer: AI Detection & Response (AIDR)
https://hiddenlayer.com/aidr
Radiant Security: AI-driven Threat Detection and Response
https://radiantsecurity.ai/learn/ai-driven-threat-detection-and-reponse
Sangfor: AI-powered cyber threats, zero-day & deepfakes
https://www.sangfor.com/blog/cybersecurity/ai-powered-cyber-threats-zero-day-deepfakes
Wiz Academy: AI Threat Detection
https://www.wiz.io/academy/ai-threat-detection
Betanews: AI-powered attacks, zero-days and supply chain breaches – the top cyber threats of 2025
https://betanews.com/2025/08/07/ai-powered-attacks-zero-days-and-supply-chain-breaches-the-top-cyber-threats-of-2025

SharePointに潜む危機：ゼロデイ脆弱性「CVE-2025-53770／53771」の実態と対策

はじめに

2025年7月、MicrosoftのSharePoint Serverに重大なゼロデイ脆弱性が発見され、セキュリティ業界に大きな衝撃を与えました。この脆弱性「CVE-2025-53770／53771」は、単なる技術的な欠陥にとどまらず、組織の機密情報や業務基盤を危険に晒す深刻なリスクを内包しています。

特に注目すべき点は、「認証不要で外部からリモートコード実行が可能」という点です。つまり、パスワードもIDも必要なく、悪意ある第三者がネットワーク越しにSharePointサーバーの内部へ侵入し、任意のプログラムを実行できるという状況です。これはサーバー乗っ取りやランサムウェア感染、情報漏洩といった重大なセキュリティ事故につながりかねません。

実際、この脆弱性はすでに世界各地の組織に対して悪用が確認されており、日本国内の企業や団体も無関係ではありません。金融・政府機関・教育・エネルギーなど、あらゆる業種がターゲットになり得る中、早急な情報共有と対策が求められています。

本記事では、このSharePoint脆弱性の技術的な仕組みと発見の背景、攻撃の具体的な手法、そして被害を防ぐために今すぐ実施すべき対応策まで、体系的に解説していきます。社内のシステム管理者やセキュリティ担当者はもちろん、経営層や情報資産の利用者にとっても重要な内容となるはずです。

本稿を通じて、あなたの組織がサイバー攻撃のリスクに対してどのように備えるべきかを再確認し、実践的な防御行動につなげることを目指します。今この瞬間にも、SharePointを標的とした攻撃は進行しているかもしれません。対岸の火事と捉えず、自組織の防御力を高める契機としてください。

脆弱性の概要

今回発見された脆弱性は、Microsoft SharePoint Serverに存在する認証回避およびリモートコード実行（Remote Code Execution, RCE）の欠陥で、脆弱性識別番号は以下のとおりです：

CVE-2025-53770：認証なしで任意コード実行が可能な致命的な脆弱性（CVSSスコア：9.8／10.0）
CVE-2025-53771：関連するセキュリティ機構をバイパスする補助的な脆弱性

この脆弱性は、SharePointが内部的に使用する「ViewState」というシリアライズされたデータの取り扱いに起因しています。ViewStateはASP.NETアプリケーションにおいて、サーバーとクライアント間の状態管理を行うために用いられますが、その検証・復号処理において暗号鍵（MachineKey）を利用している点が悪用の起点となっています。

特徴的な点：

認証不要で攻撃が可能：攻撃者はユーザー認証を経ることなく、直接SharePointの内部機能にアクセスできます。
リモートからの完全なコード実行：悪意のあるViewStateデータを送るだけで、任意のコマンドを実行できる状態になります。
持続的な侵害が可能：一度MachineKeyを入手されると、正規の通信に偽装した攻撃が継続的に可能になります。
被害が検知しづらい：一見正当なHTTPリクエストを装っており、従来のセキュリティ機構では検出が困難です。

これらの脆弱性は、2025年初頭に報告されたPwn2Ownコンテストで発見された「CVE-2025-49704／49706」に対するMicrosoftのパッチを巧妙に回避する形で出現したバリアントであり、「一度修正されたはずの問題が再燃した」という点でもセキュリティの難しさを象徴しています。

特に脅威となっているのは、オンプレミスで運用されているSharePoint Server環境です。クラウド版のMicrosoft 365環境はマイクロソフトによって自動保護される可能性がありますが、オンプレミス環境ではユーザー組織自身がパッチの適用や対策を担わなければなりません。

さらに、SharePointは単体で動作する製品ではなく、社内のドキュメント管理、ワークフロー、イントラネット、業務アプリケーション連携など、非常に多くの機密情報が集約されている基幹システムであるため、攻撃が成功した場合の被害範囲は極めて広範です。

このような理由から、今回の脆弱性は単なる技術的な問題ではなく、情報漏洩・業務停止・サプライチェーン攻撃に直結する重大インシデントとして、迅速かつ組織的な対応が求められています。

発見の経緯と背景

この脆弱性の根底にあるのは、2025年初頭に開催された著名なハッキングコンテスト「Pwn2Own Berlin 2025」での報告です。ここでセキュリティ研究者が、Microsoft SharePoint Serverに対してシリアライズの不備を突いたリモートコード実行攻撃を成功させ、「CVE-2025-49704」と「CVE-2025-49706」という脆弱性が認定されました。Microsoftはこれを受けて、数週間以内に緊急のセキュリティパッチをリリースし、問題は一旦「解決した」と見られていました。

しかし、事態はそれで収束しませんでした。複数の攻撃グループがこの修正に目をつけ、パッチの動作や保護ロジックを逆解析することで、回避手法（バイパス）を開発したのです。その結果、2025年7月中旬、まったく同じ脆弱性チェーンに対して新たに認定された「CVE-2025-53770」と「CVE-2025-53771」が明らかになりました。

つまり、本脆弱性は「完全な新種」というよりも、“パッチをかいくぐる新たな攻撃変種（バリアント）”である点が重要です。このような「パッチバイパス型ゼロデイ」は、修正されたはずの問題が再び表面化するため、組織としての油断を誘いやすく、特に危険です。

なぜSharePointが狙われるのか？

Microsoft SharePointは、多くの企業・行政機関において文書管理、ワークフロー、ナレッジ共有、グループウェアの中核を担うプラットフォームです。その性質上、以下のような特徴を持っています：

高い情報集積性：業務上の文書、顧客情報、社内マニュアルなど、機密情報が集中して保存されている。
可用性重視の運用：停止を避けるため、パッチ適用が後回しになりがち。
独自カスタマイズの多さ：多くの企業で独自の拡張や外部連携がされており、脆弱性の影響範囲が広がりやすい。

さらに、多くの組織でオンプレミス環境が残っており、クラウド型のMicrosoft 365と異なり、自社でのパッチ運用や構成管理が必要なため、攻撃者にとっては格好のターゲットとなっているのです。

攻撃の兆候が現れるまで

脆弱性の存在は、セキュリティ研究者やベンダーによって一部で注視されていましたが、実際に攻撃キャンペーンが活発化したのは2025年7月中旬。CrowdStrikeやPalo Alto Networks、Rapid7などのセキュリティベンダーがほぼ同時に実環境でのゼロデイ悪用の兆候を検知し、緊急アラートを発出しました。

中でもCrowdStrikeは、実際のマルウェア配布活動の中でSharePointへの侵入経路としてこの脆弱性が利用されていた事実を確認。それにより、本脆弱性は単なる概念実証（PoC）ではなく、リアルな攻撃キャンペーンの一部として“現場投入”されていることが裏付けられたのです。

このように、一度は塞がれたはずの入口が、別の鍵で再び開けられた形となっている現在、SharePointを運用するあらゆる組織が再点検を迫られているのが現状です。

攻撃の手法

今回の脆弱性「CVE-2025-53770／53771」を悪用した攻撃は、単一の技術的欠陥というよりも、複数の手口を組み合わせた“攻撃チェーン”として成立しています。ここでは、攻撃者がどのようなステップでSharePointサーバーを侵害し、持続的なアクセスを獲得するかを段階的に解説します。

ステップ1：認証バイパスによる不正アクセス

攻撃者はまず、/layouts/15/ToolPane.aspx というSharePoint内の特殊なエンドポイントに対して、細工されたHTTPリクエストを送信します。このリクエストには偽の Referer ヘッダー（例：/_layouts/SignOut.aspx）が含まれており、これによってSharePoint側の処理フローが意図せず短絡され、認証を通らずに内部機能へアクセスできてしまうのです。

この時点で、攻撃者は“匿名のまま”SharePointアプリケーションの一部に踏み込んでいます。

ステップ2：Webシェル（ASPXファイル）のアップロード

次に、攻撃者は ToolPane.aspx のバグを利用して、任意のASPXファイル（＝Webシェル）をSharePoint内にアップロードします。実際の攻撃事例では spinstall0.aspx という名称の悪意あるファイルが使用されました。

このファイルは一見すると正当な構成ファイルに見えますが、その内部ではPowerShellやコマンドプロンプトを介した命令実行機能が埋め込まれており、後続のステップで利用されます。

ステップ3：暗号鍵（MachineKey）の取得

ASPXファイルを実行することで、SharePointが内部的に保持するMachineKey（ValidationKey / DecryptionKey）をメモリや設定ファイルから抽出します。

この暗号鍵は、.NETアプリケーションがViewStateなどのシリアライズデータを暗号化・検証するために使われているもので、これを奪われると攻撃者は正当なシステムユーザーを偽装してViewStateを生成できるようになります。

この時点で、攻撃者はまるで「マスターキー」を手に入れた状態になります。

ステップ4：偽造ViewStateによる任意コード実行

奪取したMachineKeyをもとに、攻撃者は ysoserial.net などのツールを使って任意のコマンドを含んだViewStateデータを生成します。通常、このようなデータは改ざんされていればエラーとなるはずですが、すでに正規の鍵を持っているため、サーバー側は問題なく処理してしまいます。

これにより、以下のようなコマンドをSharePointサーバーで実行可能になります：

ファイルのダウンロードやアップロード
新たなWebシェルの設置
追加のアカウント作成
外部C2サーバーとの通信開始

実質的に、サーバーは完全に乗っ取られた状態になります。

ステップ5：持続的アクセスとステルス化

最終段階では、攻撃者はサーバー上にバックドアを設置したり、Windowsのタスクスケジューラやサービス機構を悪用して永続的なアクセス経路を確保します。

さらに、侵入を隠すためにログを改ざんしたり、WAFやEDRを回避するような通信方式に切り替えるなどのステルス化技術も用いられる場合があります。

攻撃チェーンのまとめ

[1] 認証不要の不正リクエスト送信
       ↓
[2] Webシェル(ASPXファイル)のアップロード
       ↓
[3] 暗号鍵(MachineKey)の取得
       ↓
[4] 偽造ViewStateの送信と任意コード実行
       ↓
[5] バックドア設置と持続的侵害

なぜ検知が難しいのか？

この攻撃チェーンの厄介な点は、全体の流れがあたかも正当なASP.NET処理に見えることです。たとえば、ToolPane.aspxへのPOSTリクエストや、ViewStateを含むHTTPレスポンスは通常のSharePoint動作にも存在するため、境界型のセキュリティ（WAFなど）では見逃されがちです。

また、PowerShellやcmdの実行は「システム管理者が実施した操作」として誤認されることもあり、EDRを使っていても検出や調査が遅れるリスクがあります。

実際の被害事例における特徴

w3wp.exe（IISのプロセス）から cmd.exe、さらに powershell.exe へのプロセス連携が発生している
SharePointのログに、同一IPから異常に多くのViewState関連リクエストが記録されている
spinstall0.aspx のような見慣れないファイルが SharePoint の一時ディレクトリに存在している

これらの兆候に少しでも心当たりがある場合は、すでに侵害されている可能性が高いと考え、即座に調査・対応を行う必要があります。

このように、今回の攻撃は非常に緻密に設計されており、しかも既知の構造を利用しているため、既存のセキュリティ対策をすり抜けやすいという点が最大の脅威です。単なる“穴”ではなく、“正規の扉を偽鍵で開けてくる”ようなイメージで捉えるべきでしょう。

被害状況と対象範囲

今回のSharePointゼロデイ脆弱性「CVE-2025-53770／53771」は、すでに実際の攻撃キャンペーンに利用されており、世界中で被害が拡大しています。従来の脆弱性と異なり、検出が難しく、企業・団体側が侵害を受けていることに気づかないまま、水面下で情報流出やバックドア設置が進行している可能性が高いのが大きな特徴です。

想定される被害の内容

この脆弱性が悪用された場合、以下のような被害が発生するおそれがあります：

情報漏洩：SharePoint上に保管された機密文書・契約書・設計資料・顧客情報などの大量流出
業務システムの改ざん・停止：ワークフローや業務アプリケーションに不正アクセスが行われ、業務プロセスが中断
社内ネットワークへの横展開（ラテラルムーブメント）：SharePointサーバーを足掛かりに他のシステムへの侵入
ランサムウェア感染やC2通信の開始：外部サーバーと不正通信を確立し、身代金要求や継続的スパイ活動を行う
信用失墜・訴訟リスク：顧客情報やパートナーとの契約書が漏洩した場合、社会的信用の喪失や法的責任が問われる

特に、SharePointは業務のハブとして様々なシステムやユーザーと連携しているため、単なる1サーバーの侵害にとどまらない影響範囲の広さが懸念されます。

実際に確認されている攻撃キャンペーン

CrowdStrikeやPalo Alto Networksなどのセキュリティベンダーは、2025年7月中旬以降、複数の組織でこの脆弱性を利用した攻撃の痕跡を確認したと報告しています。具体的には、以下のような業種・組織が被害を受けたとされます：

金融機関（国内外の大手銀行、保険会社など）
製造業・エネルギー企業（インフラ関連、海外プラント事業）
教育機関・大学（研究データや個人情報が集中する環境）
政府・自治体・公共団体（文書共有や決裁フローにSharePointを利用）
医療機関・ヘルスケア（電子カルテや医療ドキュメント連携）

特に、政府系・金融系・研究機関といった、国家的に重要なデータを保持しているセクターが標的になっている点は、高度標的型攻撃（APT）との関連も示唆されています。

また、攻撃者グループによっては、これらの侵害を初期アクセスとして利用し、後続のランサムウェア展開や情報収集活動へとつなげているケースも確認されています。

対象範囲：影響を受けるSharePointバージョン

この脆弱性の影響を受ける主な製品は以下のとおりです：

製品バージョン	対象	パッチの提供状況（2025年7月現在）
SharePoint Server 2016	✅ 対象	❌ パッチ未提供
SharePoint Server 2019	✅ 対象	✅ KB5002754 が提供済み
SharePoint Server Subscription Edition	✅ 対象	✅ KB5002768 が提供済み
SharePoint Online（Microsoft 365）	❌ 非対象	クラウドで保護されており問題なし

特に注意すべきは、SharePoint Server 2016環境です。パッチ未提供の状態が続いており、かつ利用ユーザー数も多いため、“攻撃者にとって最も効率的な標的”となっている可能性が高いと見られます。

侵害が疑われる兆候（IOC）

ToolPane.aspx への不審なPOSTリクエスト（Referer: SignOut.aspx）
spinstall0.aspx など未知のASPXファイルがディレクトリ内に存在
w3wp.exe → cmd.exe → powershell.exe のプロセスチェーン
異常に大きなViewStateや不正なシリアライズデータの送受信ログ

これらの兆候がシステムログやEDR、WAF、SIEMに記録されている場合は、すでに侵害を受けている可能性を強く疑うべきです。

なぜこの被害は広がったのか？

認証が不要なため防御線が最初から無効
従来のWAFやアンチウイルスでは検出困難
多くの企業でパッチ適用が遅れがち
システム管理者が異常に気づきにくい攻撃手法
攻撃グループ間でツールが共有・拡散されている

こうした要因が重なった結果、攻撃者にとって非常に“使いやすいゼロデイ”として拡散し、攻撃規模は今なお拡大し続けているのが現状です。

緊急対応策

今回の脆弱性「CVE-2025-53770／53771」は、既に実際の攻撃で悪用されているゼロデイ脆弱性であるため、「様子を見る」という選択肢は存在しません。SharePoint Serverを運用している組織は、すぐにでも以下の緊急対応策を検討・実施する必要があります。

ここでは、対応の優先度ごとに段階的なアクションを整理して紹介します。

1. パッチの適用（最優先）

まず最優先で実施すべきは、Microsoftが提供している公式セキュリティパッチの適用です。今回の脆弱性に対して、以下のバージョン向けに修正プログラムが提供されています：

製品バージョン	対応パッチ	公開日	備考
SharePoint Server Subscription Edition	KB5002768	2025年7月中旬	修正済み
SharePoint Server 2019	KB5002754	2025年7月中旬	修正済み
SharePoint Server 2016	✕	未提供（2025年7月現在）	回避策の検討が必要

✅ 実施ポイント

影響のあるバージョンを特定し、できる限り速やかにパッチを適用する。
パッチ適用前には、バックアップ取得とステージング環境での事前検証を推奨。
複数ノード構成の場合はローリングアップデートで対応可能。

※ 2025年7月現在、SharePoint Server 2016にはまだパッチが提供されていないため、以下の緩和策を必ず併用してください。

2. 緩和策の導入（パッチ未適用環境・追加保護）

パッチが適用できない環境や、より強固なセキュリティ対策を希望する場合には、以下の緩和策が推奨されます：

🔧 AMSI（Antimalware Scan Interface）の有効化

Windowsに標準搭載されているAMSIを有効にすることで、不正なPowerShell実行などのコード実行を検知・阻止可能。
Microsoft Defender Antivirus などのAMSI対応ソリューションと組み合わせると効果的。

🔐 MachineKeyのローテーション

ViewState改ざんを可能にする鍵（ValidationKey／DecryptionKey）を再生成・再配置する。
攻撃者に鍵を奪取された可能性がある場合、速やかな更新が必須。

🌐 公開サーバーの隔離

インターネットに直接公開されているSharePoint環境については、一時的にアクセスを制限または遮断し、脆弱性が解消されるまで閉鎖も検討。

⚠️ Webアクセスの制御

ToolPane.aspx やその他の怪しいエンドポイントへのアクセスを IISのIP制限やWAFで制御。
spinstall0.aspx など不審なファイル名のリクエストログがないかを定期監視。

3. 侵害の有無を調査（被害の可能性がある場合）

SharePoint Serverが既に攻撃されている可能性があると疑われる場合は、以下のインシデント対応フローに従い、迅速な内部調査を実施してください：

🔍 ログの確認

ToolPane.aspx への不審なPOSTリクエストの有無
Referer: /_layouts/SignOut.aspx を伴うアクセス
spinstall0.aspx 等のアップロード痕跡

🔗 プロセス連携の追跡

w3wp.exe → cmd.exe → powershell.exe というプロセスチェーンが実行されていないかをEDRやログで確認。

📁 ファイル改ざんの有無

Webルート配下に不審な .aspx ファイルが存在しないかチェック。
ファイル改変日時の急変や、予期せぬスクリプトの混入にも注意。

4. 持続的防御の構築（再発防止）

今回の脆弱性は、技術的な修正にとどまらず、組織のセキュリティ体制そのものの見直しを迫る内容です。以下のような対策を中長期的に講じることが望まれます：

🧰 セキュリティ製品の見直し

EDR／XDR（例：CrowdStrike Falcon, Microsoft Defender for Endpoint）の導入
WAF（Web Application Firewall）のチューニングと監視強化

🔄 セキュリティ運用体制の強化

脆弱性管理の定期サイクル化
パッチ適用のSLA（サービスレベル合意）策定
変更管理と構成管理（CMDB）の整備

🧪 脅威エミュレーションやペネトレーションテストの実施

Red Team／Blue Team演習を通じて実戦的な防御体制を検証・改善

5. 関係者・組織への報告・連携

システム担当者だけでなく、CIO／CISO／経営層への報告を速やかに実施
関連するベンダーやクラウド連携先とも脆弱性共有と対応状況の確認
必要に応じてIPA／JPCERT／MSRCなどへインシデント報告

✅ 対応チェックリスト（簡易まとめ）

対策項目	実施状況
公式パッチの適用	☐ 実施済／☐ 未実施
MachineKeyの再生成	☐ 実施済／☐ 未実施
AMSI・Defender有効化	☐ 実施済／☐ 未実施
ToolPaneへのアクセス制御	☐ 実施済／☐ 未実施
不審なログ・ファイルの調査	☐ 実施済／☐ 未実施
関係者への状況共有	☐ 実施済／☐ 未実施

脆弱性に対する防御は「待つ」のではなく、「動く」ことが肝心です。特にオンプレミス環境においては、クラウドサービスと異なり自らが最後の砦となる意識が必要です。今すぐ対応を開始し、被害拡大を防ぎましょう。

検出とモニタリングのポイント

今回のSharePointゼロデイ脆弱性（CVE-2025-53770／53771）は、表面的には正常な通信に見えるという点が大きな特徴です。従来のシグネチャベースのセキュリティ製品では検出が難しく、実際に多くの組織が侵害に気づかず長期間放置していた可能性があります。

そのため、組織としては「攻撃を未然に防ぐ」ことと同時に、侵害の兆候をいかに早く検出するかが極めて重要です。本章では、システム管理者やSOC（セキュリティオペレーションセンター）が注視すべき具体的な検出ポイントを紹介します。

1. 不審なリクエストの監視

攻撃は、通常のHTTPリクエストを装って開始されます。特に注目すべきなのは、以下のようなリクエストパターンです：

エンドポイント：/layouts/15/ToolPane.aspx への POST リクエスト
Referer ヘッダー：/_layouts/SignOut.aspx が含まれている
User-Agent が PowerShell／curl／Python スクリプトのような自動化ツールになっている場合

これらは、SharePointの通常運用ではあまり見られないアクセスであり、異常挙動として検出・アラート化すべきです。

2. Webシェルの展開検知

多くの攻撃事例で、spinstall0.aspx などの悪意あるASPXファイル（Webシェル）がSharePointのフォルダ内に設置されていました。検出の観点では以下のような点を重点的に確認します：

/layouts/15/ 以下や一時ディレクトリに .aspx ファイルが新規追加されていないか
ファイル名に “install”、”shell”、”cmd”、”debug” といったキーワードが含まれていないか
ファイルのアップロード日時が業務時間外や深夜帯に集中していないか

ファイル整合性監視（FIM）やファイルアクセス監査ログの活用が有効です。

3. プロセス連携（プロセスチェーン）の分析

攻撃が成功すると、SharePointのWebアプリケーションプロセス（w3wp.exe）から以下のようなプロセス連鎖が発生します：

w3wp.exe → cmd.exe → powershell.exe

この連携は通常のSharePoint動作では極めて異常であり、EDR（Endpoint Detection & Response）やSysmonを用いたプロセス監視で即時検知可能です。

さらに：

PowerShellで「Base64デコードされたコマンド」が実行されていないか
外部C2（Command & Control）への接続試行（TCP/443やDNSトンネリングなど）がないか

といったビヘイビア分析（ふるまい検知）が効果を発揮します。

4. ViewState改ざんの兆候

本脆弱性は、.NETアプリケーションのViewStateを悪用したペイロード注入によって任意コードが実行されます。ViewStateは通常、暗号化された長い文字列としてHTTPリクエストまたはレスポンスに含まれますが、以下の点に注目することで不正使用を検出できる可能性があります：

ViewStateが異常に大きい（数KB以上）
過去の通信と比較して長さや形式が不自然に変化している
アクセス頻度が急激に増加している

一部のWAFやSIEMで、ViewState長の閾値をアラート化するルールを組むことで検知精度を向上させられます。

5. エンドポイントログと統合ログ分析（SIEM）

EDRやWAF単体では見落とす可能性があるため、複数のログソースを相関分析するSIEM（例：Splunk, Azure Sentinel, QRadar） の導入・活用が強く推奨されます。組み合わせるべき主なログは：

IISアクセスログ（不審なエンドポイント／POSTリクエストの確認）
SharePoint ULSログ（ViewState処理やファイル操作の異常）
Windowsイベントログ（プロセス生成やPowerShellの使用履歴）
EDRアラートログ（スクリプト実行、レジストリ操作、不審な通信）

これらを日・週単位でレポート出力し、平常時との乖離を定点観測することで、初期侵害の兆候を早期に把握できます。

6. IOC（Indicators of Compromise）の活用

各セキュリティベンダー（Trend Micro、CrowdStrike、Palo Alto等）は、攻撃に関連する**IOC（侵害指標）**を公開しています。以下のようなIOCを照合することで、既に攻撃を受けていないかを確認可能です：

悪意あるASPXファイルのハッシュ値（SHA256）
外部C2サーバーのIPアドレス／ドメイン名
PowerShellコマンドの断片やBase64文字列パターン

IOCは定期的に更新されるため、最新の情報を入手し、内部ログと照合するルールを自動化する仕組みがあると理想的です。

まとめ：検知は「人＋仕組み」の両輪で

この脆弱性のように、通常の通信フローに巧妙に溶け込むタイプの攻撃に対しては、「自動検知に100%依存する」ことはリスクを伴います。日々の行動ベースの異常検知（UEBA）や、SOCメンバーの目視による定期的なログレビューも有効です。

「脆弱性は0dayでも、異常な挙動は隠せない」

この考え方を軸に、多層的かつ継続的なモニタリング体制を整備することが、侵害リスクの最小化につながります。

今後の展望と教訓

今回のSharePointにおけるゼロデイ脆弱性（CVE-2025-53770／53771）は、単なる「一製品のバグ」ではなく、現代のITインフラ全体が抱える構造的な脆弱性と、セキュリティ運用上の課題を浮き彫りにした事例といえます。今後、同様のリスクを回避するためには、技術的な対応だけでなく、組織的・文化的な観点からも教訓を整理し、次なる備えへと昇華させていくことが重要です。

1. パッチ適用だけでは守れない時代

多くの組織では、「パッチを当てれば安全」という考えが未だに根強く残っています。しかし今回のケースでは、既存のパッチ（CVE-2025-49704/49706）が攻撃者にバイパスされた結果、再び脆弱性が露呈したという構図になっています。

つまり、単にベンダーの修正を待つだけでは攻撃のスピードに追いつけません。これからの時代は以下が求められます：

構成レベルでの防御策（Defense-in-Depth）の導入
脆弱性の「周辺構造」への理解と運用設計
パッチ適用の高速化だけでなく、適用後の検証プロセスの定着

2. オンプレミス環境の“サイレントリスク”

クラウドシフトが進む一方で、今回被害に遭ったのは主にオンプレミス環境のSharePointでした。クラウドであれば、Microsoft側が脆弱性の検知や自動修正を行うことも期待できますが、オンプレミスでは全ての責任が利用者側にあるため、対応の遅れが命取りになります。

とくに問題なのは以下のような組織文化です：

「重要システムなのでパッチ適用を遅らせている」
「影響調査に時間がかかるので、毎月のセキュリティ更新が後手に回っている」
「システムベンダーに任せているので中身は見ていない」

これらは一見合理的に思えても、ゼロデイ攻撃という“例外事象”の前では重大なリスクファクターとなります。

3. セキュリティ運用体制そのものの再構築

今回の脆弱性を契機として、以下のような中長期的な体制強化が求められます：

セキュリティの責任を“IT部門だけ”に閉じない（経営層・利用部門・ベンダー間での明確な役割分担）
脆弱性管理の自動化と可視化（資産管理＋脆弱性スキャンの継続的統合）
SOC（セキュリティ運用センター）機能の内製化・外部委託による監視体制の確立
CIS ControlsやNIST CSFなど国際基準に基づいたフレームワークの適用

また、「セキュリティ対策はコスト」ではなく「事業継続の前提」として再認識することが、経営レベルでの合意形成につながります。

4. 人材・文化・スピードのギャップ

サイバー攻撃は日々進化していますが、それに追従できる人材と運用文化が不足しているという現実があります。

セキュリティ担当者が“1人しかいない”
スクリプトやログ分析ができる人材が社内にいない
インシデントが発生しても対応フローが曖昧で時間がかかる

こうしたギャップを埋めるためには、次のような取り組みが有効です：

社内のIT教育の強化：セキュリティは専門職だけの仕事ではないという意識付け
インシデント演習の定期実施：実戦想定での初動確認
自動化ツールの活用：人的リソースに依存しない初期対応体制の構築

5. 「透明性」と「信頼」が企業価値を左右する時代へ

もし万が一、今回のような脆弱性を突かれて情報漏洩や侵害が起きてしまった場合、どのように対外的に説明・報告するかも企業の信頼を大きく左右します。

被害の公表を遅らせる
不正アクセスの可能性を過小評価する
技術的な説明や再発防止策が曖昧

こうした対応は、顧客・取引先・社会からの信用を大きく損ねる可能性があります。逆に言えば、「迅速かつ透明な説明」「誠実な対応」「技術的裏付けのある改善策」を示せれば、危機を信頼強化のチャンスに変えることすら可能です。

おわりに

本記事では、Microsoft SharePoint Serverに発見された深刻なゼロデイ脆弱性「CVE-2025-53770／53771」について、技術的な仕組みから実際の攻撃手法、被害の広がり、緊急対応策、そして今後の教訓までを包括的に解説してきました。

この脆弱性が私たちに突きつけた現実は明白です。それは、「セキュリティ対策は製品アップデートだけでは不十分であり、継続的な運用と組織の覚悟が不可欠である」ということです。しかも今回のように、すでに修正されたはずの脆弱性のバリアントが再び実戦投入されるようなケースでは、技術的な優位性だけでは防ぎきれない部分もあることを認識する必要があります。

特にSharePointのような、業務の中核を支えるプラットフォームに対する攻撃は、単なる「情報システムの不具合」では済まされません。業務の停滞、取引先への信頼失墜、個人情報保護違反による制裁など、企業活動そのものに重大な影響を及ぼすリスクをはらんでいます。

したがって、本脆弱性の教訓は次のように総括できます：

ITインフラの構成を理解し、脆弱性の影響範囲を即時に把握できる体制を整えること
パッチ適用や鍵の更新といった技術的対応を“例外”ではなく“習慣”として定着させること
日々のモニタリングやログ分析を継続的に行い、小さな異常に気づける目を育てること
セキュリティ対応を“コスト”ではなく“信用維持の投資”と捉える組織文化を築くこと

また、今回の件を「一時的な出来事」として流してしまえば、次のゼロデイ攻撃にまた同じように無防備な状態で晒されることになりかねません。むしろこれを契機に、社内のセキュリティ運用を一段階引き上げるチャンスと捉えることが、真にリスクを最小化する道だと言えるでしょう。

セキュリティは「完璧」を求めるのではなく、「進化し続ける」ことが重要です。攻撃者が進化する以上、私たちの守りもまた日々アップデートされ続けなければなりません。

最後に、この記事をきっかけに、1人でも多くの管理者・開発者・経営者が「自組織の守りは十分か？」と問い直し、必要なアクションを一歩踏み出していただければ幸いです。

📚 参考文献

Customer Guidance for SharePoint Vulnerability CVE-2025-53770
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
CVE-2025-53770 – Zero-day exploitation in the wild of Microsoft SharePoint Servers
https://www.rapid7.com/blog/post/etr-zero-day-exploitation-of-microsoft-sharepoint-servers-cve-2025-53770/
Proactive Security Insights: CVE-2025-53770 and CVE-2025-53771 in SharePoint Attacks
https://www.trendmicro.com/en_us/research/25/g/cve-2025-53770-and-cve-2025-53771-sharepoint-attacks.html
CrowdStrike Detects and Blocks Widespread SharePoint Zero-Day Exploitation
https://www.crowdstrike.com/en-us/blog/crowdstrike-detects-blocks-sharepoint-zero-day-exploitation/
Active Exploitation of Microsoft SharePoint Vulnerabilities: Threat Brief by Unit42
https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/
Critical Microsoft SharePoint Flaw Exploited in the Wild — CVE-2025-53770
https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html
Arctic Wolf Advisory: CVE-2025-53770 SharePoint Exploit Guidance
https://arcticwolf.com/resources/blog/cve-2025-53770/