マイクロソフトのオンプレミスのSharePointサーバーの脆弱性を悪用したサイバー攻撃について、米メディアのブルームバーグの報道によるとサイバーセキュリティ企業向けの警告システムであるマイクロソフト・アクティブ・プロテクションズ・プログラム(MAPP)から脆弱性情報が流出した可能性についてマイクロソフトが調査をしているということです。
パッチ公開前の攻撃への保護を目的に2008年から実施
マイクロソフト・アクティブ・プロテクションズ・プログラム(MAPP)は、マイクロソフトがセキュリティ更新プログラムを公開する前に脆弱性に関する情報をパートナーのサイバーセキュリティ企業に通知するもので、更新プログラムの公開前に脆弱性を悪用したマルウェアが出現しても顧客が保護されるようにとの目的で2008年から実施されているプログラムだということです。ブルームバーグの報道によると、MAPPには中国のサイバーセキュリティ企業が少なくとも12社参加しているということです。
オンプレミスのSharePointサーバーに対する攻撃は、SharePointサーバーの脆弱性CVE-2025-49704とCVE-2025-49706を悪用したものでToolShell攻撃と呼ばれています。この攻撃については今年5月にベルリンで開催されたホワイトハッカーによるハッキングコンテストPwn20wnで実演され実証されていたということです。このためマイクロソフトは7月9日にCVE-2025-49704とCVE-2025-49706に対する修正プログラムをリリースしました。しかし、7月18日ころからSharePoin サーバーに対する攻撃が確認され、さらに未知の脆弱性が悪用されていたことから、マイクロソフトは新たな脆弱性CVE-2025-53770、CVE-2025-53771を公開し対処するためのガイダンスを7月20日以降順次、発表して顧客に対応を求めている状況です。
マイクロソフトによると攻撃を確認しているのは、2012年以降、政府や防衛、人権関連の組織を標的に知的財産を窃取しているLinen Tyhoonと2015年以降、アメリカ、ヨーロッパ、東アジアでサイバースパイ活動を行っているViolet Tyhoonで、この2つの脅威は中国の国家レベルの攻撃者だということです。また、それとは別にマイクロソフトがStorm-2603として追跡している脅威からの攻撃も確認しており、この脅威についてマイクロソフトは中国を拠点にしている脅威と中程度の確度で評価しているということです。
今年5月のハッカーコンテストPwn20wnで実証されていた
ブルームバーグの報道によると、MAPPは新たな脆弱性に対する修正パッチの情報が一般公開される24時間前にMAPPに参加しているサイバーセキュリティ企業に通知する仕組みだということですが、厳格な審査を得た一部のサイバーセキュリティ企業に対しては修正パッチ情報を公開する5日前に情報が提供されているようです。CVE-2025-49704とCVE-2025-49706を悪用したToolShell攻撃は5月のPwn20wnで実証されていたということですからホワイトハッカー界わいではToolShell攻撃は認知されていたとみられます。マイクロソフトが7月9日に更新プログラムを発表した時点で攻撃は起きていなかったようですが、更新プログラムが発表された後、7月18日ころから攻撃がはじまり、その攻撃にはさらに未知の脆弱性が使われていたことから、それら脆弱性にCVE-2025-53770、CVE-2025-53771が割り当てられ、7月20日以降マイクロソフトが顧客向けのガイダンスを発表しているというのが一連の経緯です。
マイクロソフトはMAPPから脆弱性情報が流出した可能性について調査をしているということですが、これはToolShell攻撃のための脆弱性であるCVE-2025-49704とCVE-2025-49706についてだと思われます。攻撃においては未知の脆弱性が使われていたということですから、攻撃者はPwn20wnで共有された情報をもとにSharePointサーバーを研究して攻撃に至ったようにも思えます。また新たな脆弱性として割り当てられたCVE-2025-53770とCVE-2025-53771についてマイクロソフトがいつ把握したのかも気になるところです。
■出典
https://www.bloomberg.co.jp/news/articles/2025-07-25/SZYWGKGPFHQP00
https://msrc.microsoft.com/blog/2011/08/microsoft-active-protections-program-mapp/