ToolShell とは
ToolShell は、2025年7月に悪用が確認されたオンプレミス版 Microsoft SharePoint Server の脆弱性チェーンです。CVE-2025-53770(リモートコード実行、CVSS 9.8)と CVE-2025-53771(認証バイパス、CVSS 6.3)を組み合わせることで、認証なしにサーバー上で任意コードを実行できます。
名称は初期の悪用でターゲットとなった SharePoint の管理ページ /ToolPane.aspx に由来します。Microsoft は7月21日に緊急パッチを公開しましたが、公開前の7月7日にはすでに悪用が始まっていました。400件を超える組織が侵害され、米国の複数の連邦政府機関や核関連施設が被害を受けた大規模インシデントです。
2 つの CVE とその役割
| CVE | 種別 | CVSS | 内容 |
|---|---|---|---|
| CVE-2025-53771 | 認証バイパス(Server Spoofing) | 6.3 | 細工した Referer ヘッダーを付けた POST リクエストを /layouts/15/ToolPane.aspx?DisplayMode=Edit に送ることで 認証を回避できる。 |
| CVE-2025-53770 | リモートコード実行(RCE) | 9.8 | ユーザー制御データの安全でないデシリアライズに起因。認証バイパスと チェーンすることで、未認証の攻撃者がサーバー上で任意コードを実行できる。 |
単独では影響が限定されるCVSS 6.3の脆弱性が、CVSS 9.8の脆弱性への踏み台になる——これがチェーン攻撃の典型例です。どちらか一方だけでは成立しない攻撃が、組み合わせることで致命傷になります。
影響を受けるバージョン
| 製品 | 影響 |
|---|---|
| SharePoint Server Subscription Edition(SE) | 影響あり → 緊急パッチ適用必須 |
| SharePoint Server 2019 | 影響あり → 緊急パッチ適用必須 |
| SharePoint Server 2016 | 影響あり → 緊急パッチ適用必須 |
| SharePoint Online(Microsoft 365) | 影響なし(クラウド側は自動修正済み) |
クラウド移行済みの組織は影響を受けません。一方、オンプレミス環境を継続運用している組織が主なターゲットとなりました。
攻撃の流れ(概念)
具体的なエクスプロイトコードは掲載しません。攻撃の概念的な流れのみ示します。
- 偵察: インターネットに公開されたオンプレミス SharePoint Server を特定する(Shodan 等で容易に発見可能)。
- 認証バイパス(CVE-2025-53771): 細工した
Refererヘッダーを含む POST リクエストをToolPane.aspxに送り、認証チェックを迂回する。 - RCE(CVE-2025-53770): 認証バイパス後、安全でないデシリアライズを悪用して任意コードをサーバー上で実行する。
- 永続化: Web シェルを設置し、SharePoint の MachineKey(暗号鍵)を窃取する。MachineKey を入手すると、パッチ適用後も偽造トークンでアクセスし続けられる。
- 横展開・情報窃取: 認証情報の盗取、MFA/SSO のバイパス、ネットワーク内部への横展開、機密データの持ち出しへと進む。
攻撃者と被害規模
Microsoft は複数の中国系 APT グループによる悪用を確認しています。
- Linen Typhoon(APT27): 2010年頃から活動する中国国家支援グループ。政府・防衛・人権組織を標的とした情報収集を専門とする。
- Violet Typhoon(APT31): 2012年頃から活動。知的財産窃取を主目的とし、競争優位につながるデータを狙う。
- Storm-2603: MachineKey 窃取とランサムウェアとの関連が指摘される中国系アクター。
国家系アクター以外にランサムウェアグループも同じ脆弱性を悪用しており、4波にわたる攻撃キャンペーンで 400件超の組織が侵害されました。被害組織には米エネルギー省・国土安全保障省・保健福祉省・核安全保障局、欧州・中東の政府機関が含まれます。
MachineKey 窃取が危険な理由
SharePoint(および ASP.NET)は MachineKey と呼ばれる暗号鍵を使ってセッションやデータ保護トークンを署名・暗号化します。攻撃者がこの鍵を盗むと:
- パッチを当てても、鍵が同じままなら偽造トークンでの侵入が継続できる。
- MFA や SSO をバイパスした正規ユーザーになりすませる。
- 鍵の有効期間中は検知が非常に困難になる。
これが、パッチ適用と同時に MachineKey のローテーションが必須とされる理由です。
対策
1. 緊急パッチの適用(最優先)
Microsoft が2025年7月21日に公開した緊急セキュリティ更新プログラムを SharePoint Server 2016 / 2019 / SE 全バージョンに適用します。パッチが出る前から悪用されていたゼロデイのため、「使っていない」は通用しない——公開サーバーは調べられているという前提で臨みます。
2. MachineKey のローテーション
パッチ適用後は必ず MachineKey を更新します。PowerShell または Central Administration から実行でき、その後 IIS の再起動が必要です。
# SharePoint Management Shell で実行
Update-SPMachineKey -WebApplication <WebApp_URL>
# 全 Web アプリに適用後、IIS を再起動
iisreset侵害の有無にかかわらず、パッチと合わせてローテーションを実施します。
3. AMSI 統合の有効化
SharePoint の AMSI(Antimalware Scan Interface)統合を有効にすると、HTTP リクエスト内のスクリプトコンテンツを Defender がリアルタイムスキャンし、多くの ToolShell ペイロードをブロックできます。AMSI が有効化できない環境では、パッチ適用まで SharePoint サーバーをインターネットから切り離すことを検討します。
4. 侵害調査(パッチ前に攻撃を受けていた可能性がある場合)
- Web シェルの痕跡(不審な
.aspxファイルの設置)を確認する。 - SharePoint のアクセスログで
/ToolPane.aspxへの異常な POST を探す。 - 認証情報・サービスアカウントのパスワードをローテーションする。
- CISA が公開している侵害指標(IoC)と突き合わせる。
教訓: 「低い CVSS が踏み台になる」チェーン攻撃
ToolShell が示す重要な教訓は CVSSスコア単独でリスクを判断しないことです。CVE-2025-53771 は単体では CVSS 6.3(Medium)に過ぎませんが、CVSS 9.8 の CVE-2025-53770 への踏み台になることで致命的な攻撃チェーンを形成しました。
- 脆弱性はスコアではなく他の脆弱性と組み合わさった時の影響で評価する。
- インターネットに公開するサービスは、攻撃者が常にスキャンしていると前提する。
- 緊急パッチが出た時点でゼロデイ悪用はすでに始まっている場合が多い——パッチ公開と同時に適用する体制を整える。
- 「パッチを当てたから安全」ではなく、「鍵も回した、侵害調査もした」で初めて完了とする。
まとめ
ToolShell(CVE-2025-53770 + CVE-2025-53771)は、認証バイパスと安全でないデシリアライズを組み合わせたゼロデイ RCE で、中国系 APT 複数グループが国家機関を含む 400 件超の組織を侵害しました。オンプレミス SharePoint Server を運用している場合は、① 緊急パッチ適用 → ② MachineKey ローテーション → ③ AMSI 有効化 → ④ 侵害調査を順に実施します。SharePoint Online は影響を受けません。
脆弱性チェーンの全体像については MITRE ATT&CK 入門、安全でないデシリアライズの仕組みは OWASP Top 10 入門(A08: Software and Data Integrity Failures)も合わせてご覧ください。