このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
2025年7月19日、Microsoftは、重大なゼロデイリモートコード実行(RCE)の脆弱性であるCVE-2025-53770を開示しました。CVSS 3.1のベーススコア9.8(重大)が割り当てられたこの脆弱性は、SharePoint Server 2016、2019、Subscription Edition、およびサポートされていない2010年版と2013年版に影響を与えます。CloudflareのWAFマネージドルールには、WAFのお客様向けにこれらの脆弱性を軽減する2つの緊急リリースが含まれます。
この脆弱性の根本原因は、信頼されていないデータの不適切なデシリアライゼーションです。これにより、リモートの非認証攻撃者は、ユーザーとの対話なしにネットワーク上で任意のコードを実行できます。さらに、CVE-2025-53770がユニークな脅威とされているのは、その手法が「ToolShell」と呼ばれるエクスプロイトチェーンです。ToolShellは、長期的な攻撃を行うように設計されています。攻撃者は一時的なアクセスを取得するだけでなく、サーバーの暗号化マシンキー、具体的にはValidationKeyとDecryptionKeyも取得します。これらのキーを所有することで、脅威アクターは認証トークンと__VIEWSTATEペイロードを独立して偽造し、サーバーのリブートやWebシェルの削除などの標準的な軽減戦略に耐える永続的なアクセスを許可することができます。
これらの攻撃の活発な性質を受けて、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、緊急修復期限付きで、既知の悪用された脆弱性(KEV)カタログにCVE-2025-53770を追加しました。セキュリティコミュニティのコンセンサスは明確です。インターネット上にオンプレミスのSharePointサーバーを保有する組織は、侵害を受けたと想定し、この脆弱性に完全に対処するために即時行動を起こす必要があります。
CloudflareのWAFマネージドルールセットに脆弱性パッチをリリースして以来、脆弱性に対するHTTPリクエストの一致数を追跡してきました。その数を以下のグラフに示します。特に、7月22日朝、11AM UTC頃に、一時約30万件のヒットを観測しました。
ToolShellの悪用チェーンは、2025年5月に開催されたPwn2Ownのハッキングコンペティションで最初に実証されました。このコンペティションでは、リサーチャーがデシリアライゼーションRCE(CVE-2025-49704)と認証バイパス(CVE-2025-49706)を連鎖させました。残念ながら、これがToolShellの寿命の終わりではありませんでした。脅威アクターはパッチを分析して弱点を見つけて悪用し、Microsoftに新しい識別子を割り当て、認証バイパスのCVE-2025-53771を呼び出さざるを得ませんでした。このような急速なエクスプロイト → パッチ → バイパスのサイクルは、脅威アクターが単に脆弱性を発見するだけでなく、組織的にリバースエンジニアリングパッチを適用して、バイパスを武器にしていることを示しています。これにより、対応者にとっては、対応して防御を行うための扉が閉じられるか、完全に隠されてしまい、進化する事前予防的なセキュリティ体制の必要性が強調されます。
ToolShellエクスプロイトには3つの段階があります:
CVE-2025-53771 を活用した認証バイパス:攻撃は、POSTリクエストがSharePointのレガシーコンポーネントである/_layouts/15/ToolPane.aspxエンドポイントに送信されることから始まります。この認証バイパスの問題は、Refererヘッダーを/_layouts/SignOut.aspxに設定することで発生します。これにより、SharePointサーバーを騙して攻撃者を信頼させます。信頼を手に入れた場合、攻撃者は認証チェックを回避して、認証されたアクセスを使用して先に進むことができます。
デシリアライゼーションによるリモートコード実行、CVE-2025-53770:特権アクセスにより、攻撃者はToolPane.aspxエンドポイントと対話できます。攻撃者は、POSTリクエストの本文に悪意のあるペイロードを送信し、主要な脆弱性をトリガーします。SharePointアプリケーションがオブジェクトをサーバー上で実行可能なコードにデシリアライズするデシリアライゼーション欠陥です。この時点で、攻撃者は自由にコマンドを実行できます。
ロングゲーム:暗号鍵の入手:最後に、攻撃者は特定のWebシェルを使用してサーバーの暗号マシンキーを盗み取ります。ValidationKeyとDecryptionKeyを取得することで、攻撃者はSharePointで使用される状態情報を取得できます。これらのキーを入手することで、攻撃者は本来のエクスプロイトからずっと先まで独立して動作することができます。つまり、悪用されたサーバーで新たな悪意のあるペイロードを実行し続けることができるということです。このように永続的にバックドアが仕掛けられると、この攻撃手法は独特の危険性があります。
CVE-2025-53770、CVE-2025-53771に対するCloudflareの新しいWAFマネージドルール
CVE-2025-53770は、現代のサイバー脅威が二面性を持ち、初期の侵害ベクトルと長期的な持続性のメカニズムを組み合わせていることを明確に示す例です。つまり、成功した防御は、直接的なRCEの脆弱性と、その後に続く不都合なアクセスの脅威の両方に対処できるということです。
このエクスプロイトの概念実証が公開されると、Cloudflareのセキュリティアナリストは新しいパッチを作成し、テストし、初期の攻撃だけでなく、長期的な脅威にも対応できるようにしました。
チームは7月20日の夜に悪用の調査を開始し、2025年7月21日、Cloudflareは緊急WAFマネージドルールをデプロイしてこのSharePointの重大な脆弱性をパッチしました。つまり、Cloudflareマネージドルールセットを使用するすべてのお客様は、このSharePointの重大な脆弱性から自動的に保護されます。これらのルールは、WAF変更履歴で公表されており、直ちに有効になります。