SharePoint の脆弱性 CVE-2025-53770 に関するお客様向けガイダンス

/ By Japan Security Team / July 21, 2025

本ブログは Customer guidance for SharePoint vulnerability CVE-2025-53770 の抄訳版です。最新の情報は原文を参照してください。

改定	変更内容	日付
1.0	情報を公開しました。	2025/07/19
2.0	概要の項にて、影響を受ける SharePoint 製品を明記しました	2025/07/20
	修正の可用性ガイダンスを追加しました。
	以下、追加の保護ガイダンスを提供しました。: (必要な場合) SharePointをサポートされているバージョンにアップグレードする 2025 年 7 月のセキュリティ更新プログラムをインストールするマシンキーのローテーション
	Microsoft Defender の検出と保護セクションを更新しました。
	追加の MDE アラートを文書化しました。
	Microsoft Defender 脆弱性管理による公開のマッピング
	CVE-2025-53771 を文書化しました。
3.0	(CVE と公開したセキュリティ更新プログラムへのリンクを含む) SharePoint 2019 のセキュリティ更新プログラムを公開しました。	2025/07/20
4.0	セキュリティ更新プログラムのリンクを修正し、保護ガイダンスを明確にしました。	2025/07/21
5.0	SharePoint 2016 セキュリティ更新プログラムを公開、SharePoint 言語パックへのリンクを追加、お客様向けガイダンスを更新	2025/07/21
6.0	Microsoft Threat Intelligence チームのブログへのリンクを追記しました。	2025/07/22
7.0	以下を追加しました。 Defender による検出、わかりやすい記載のためのマイナー改訂、誤字の修正	2025/07/23

概要

マイクロソフトは、7 月のセキュリティ更新プログラムで部分的に対処した脆弱性を悪用し、オンプレミスの SharePoint Server のお客様を標的とするアクティブな攻撃を認識しています。

マイクロソフトは、CVE-2025-53770 および CVE-2025-53771 の影響を受ける、サポートされているすべてのバージョンの SharePoint を使用しているお客様を完全に保護するために、セキュリティ更新プログラムを公開しました。お客様は、更新プログラムをすぐに適用し、確実に保護する必要があります。

本脆弱性は、オンプレミスの SharePoint Server にのみ適用されます。 Microsoft 365 の SharePoint Online は影響を受けません。

SharePoint のセキュリティ更新プログラムは累積的です。以下に記載している最新のセキュリティ更新プログラムを適用する場合は、以前の更新プログラムを適用する必要はありません。しかしながら、SharePoint 2016 と 2019において、それぞれ提供されている両方の更新プログラムを適用する必要があります。

製品名	セキュリティ更新プログラムのリンク
Microsoft SharePoint Server サブスクリプションエディション	Download Security Update for Microsoft SharePoint Server Subscription Edition (KB5002768) from Official Microsoft Download Center
Microsoft SharePoint Server 2019	Download Security Update for Microsoft SharePoint 2019 (KB5002754) from Official Microsoft Download Center Security Update for Microsoft SharePoint Server 2019 Language Pack (KB5002753)
Microsoft SharePoint Server 2016	Security Update for Microsoft SharePoint Enterprise Server 2016 (KB5002760) Security Update for Microsoft SharePoint Enterprise Server 2016 Language Pack (KB5002759)

Microsoft Threat Intelligence がブログを公開し、脅威アクターの戦術、手法、手順、侵害の兆候、およびお客様環境での脅威ハンティングのガイダンスを提供しています。 Disrupting active exploitation of on-premises SharePoint vulnerabilities

潜在的な攻撃を軽減するために、お客様は次のことを行う必要があります。

サポートされているバージョンのオンプレミス SharePoint Server を使用する。
上記のリンク先の最新のセキュリティ更新プログラムを適用する。
Microsoft Defender for Endpoint Protection または同等の脅威ソリューションを展開する。
マルウェア対策スキャンインターフェイス (AMSI) がオンになっており、Defender ウイルス対策などの適切なウイルス対策ソリューションが正しく構成されていることを確認する。
SharePoint Server にて、ASP.NET のマシンキーをローテーションする。

各ステップの詳細なガイダンスと、検出、保護、ハンティングについては、以下に示します。

環境を保護する方法

SharePoint サブスクリプションエディション、SharePoint 2019、または SharePoint を使用しているお客様は、脆弱性を軽減するために CVE-2025-53770 と CVE-2025-53771 で提供しているセキュリティ更新プログラムをすぐに適用してください。

オンプレミスの Microsoft SharePoint Server のサポートされているバージョンを使用するか、アップグレードする。
- サポートされているバージョン: SharePoint Server 2016、2019、SharePoint サブスクリプションエディション
マルウェア対策スキャンインターフェイスがオンであり、正しく設定されていることを確認する。 SharePoint でマルウェア対策スキャンインターフェイス (AMSI) 統合を構成します。HTTP 要求の本文スキャンを使用できる場合、最も包括的な保護を提供するフルモードを有効にし、認証されていない攻撃者がこの脆弱性を悪用することを阻止するために、すべての SharePoint サーバーに Microsoft Defender ウイルス対策を展開します。

注: AMSI 統合は、SharePoint Server 2016/2019 では 2023 年 9 月のセキュリティ更新プログラム、 SharePoint Server サブスクリプションエディションのバージョンでは 23H2 の機能更新プログラムで既定で有効です。
AMSI を有効にできない場合、上記リンク先の最新のセキュリティ更新プログラムを適用するまで、サーバーをインターネットから切断することを検討することを推奨します。サーバーをインターネットから切断できない場合、認証を必要とする VPN かプロキシ、または認証ゲートウェイを使用して、認証されていないトラフィックを制限することを検討してください。
Microsoft Defender for Endpoint、または同等のソリューションをデプロイする。
Defender for Endpoint を展開して、エクスプロイト後のアクティビティを検出してブロックすることを推奨します。
SharePoint Server にて、ASP.NET のマシンキーをローテーションする。 上記、最新のセキュリティ更新プログラムを適用するか、AMSI を有効にした後、SharePoint サーバーにて ASP.NET のマシンキーをローテーションし、すべての SharePoint サーバー上で IIS を再起動することが重要です。「改善された ASP.NET ビューステートのセキュリティとキー管理」の PowerShell ガイダンスに従ってください。

PowerShell を使用して Web アプリケーションのマシンキーを更新するには:
1. ‘Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>’ を使用して PowerShell でマシンキーを生成します。
2. ‘Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>’ を使用して、PowerShell でマシンキーをファームにデプロイします。
ローテーションが完了したら、iisreset.exe を使用してすべての SharePoint サーバーで IIS を再起動します。
AMSI を有効にできない場合は、新しいセキュリティ更新プログラムをインストールした後にキーをローテーションする必要があります。

Microsoft Defender の検出と保護

Microsoft Defender ウイルス対策

Microsoft Defender ウイルス対策では、以下の検出名で、この脅威に関連するコンポーネントと動作に対する検出と保護を提供します。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint では、この脅威に関連する脅威アクティビティを示す可能性のあるアラートをお客様に提供します。ただし、アラートは無関係な脅威アクティビティによってトリガーされる可能性があります。Microsoft Defender セキュリティセンターポータルの次のアラートタイトルは、ネットワーク上の脅威アクティビティを示す場合があります。

Possible web shell installation
Possible exploitation of SharePoint server vulnerabilities
Suspicious IIS worker process behavior
IIS worker process loaded suspicious .NET assembly
‘SuspSignoutReq’ malware was blocked on a SharePoint server
‘HijackSharePointServer’ malware was blocked on a SharePoint server

Microsoft Defender 脆弱性管理での露出のマッピング

MDVM の脆弱性レコードに、SharePoint Server 2010 および 2013 を含む、影響を受けるすべての SharePoint バージョンについて、両方の脆弱性の CVSS スコアとゼロデイフラグが含まれるようになりました。脆弱性管理 ▸ ソフトウェアの脆弱性を参照し、脆弱性識別子でフィルタリングし、公開されたデバイス、修復ステータス、および悪用の証拠タグを表示します。

高度なハンティングクエリ

DeviceTvmSoftwareVulnerabilities
| where CveId in ("CVE-2025-49706","CVE-2025-53770")

高度なハンティング

お客様環境での脅威ハンティングに関するその他のガイダンスについては、Microsoft Threat Intelligence チームのブログ: Disrupting active exploitation of on-premises SharePoint vulnerabilities を参照してください。

次のサンプルクエリを使用すると、1 週間分のイベントを検索できます。最大 30 日分の生データを探索することでネットワーク内のイベントを検査し、1 週間以上関連する可能性のあるインジケーターを見つけるには、高度なハンティング ページの > クエリ タブに移動しカレンダーのドロップダウンメニューから、過去 30 日間のハンティングにクエリを更新します。

悪用される可能性のあるアクティビティを見つけるには、Microsoft 365 セキュリティセンターで次のクエリを実行します。

ファイル作成による悪用の成功 (Microsoft 365 Defender が必要)

CVE-2025-53770 のエクスプロイト後に成功したことを示す spinstall0.aspx の作成を検索します。
Microsoft 365 Defenderでクエリを実行する

DeviceFileEvents
| where FolderPath has_any (@'microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS', @'microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS')
| where FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

w3wp.exe が spinstall0 ファイルや既知の保存先パスに関連するエンコードされた PowerShell を起動しているプロセスの作成を検索します。

DeviceProcessEvents
| where InitiatingProcessFileName has "w3wp.exe"
 and InitiatingProcessCommandLine !has "DefaultAppPool"
 and FileName =~ "cmd.exe"
 and ProcessCommandLine has_all ("cmd.exe", "powershell")
 and ProcessCommandLine has_any ("EncodedCommand", "-ec")
| extend CommandArguments = split(ProcessCommandLine, " ")
| mv-expand CommandArguments to typeof(string)
| where CommandArguments matches regex "^[A-Za-z0-9+/=]{15,}$"
| extend B64Decode = replace("\\x00", "", base64_decodestring(tostring(CommandArguments)))  
| where B64Decode has_any ("spinstall0", @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\15\TEMPLATE\LAYOUTS', @'C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS')