チェック・ポイント・リサーチ、SharePointの重大なゼロデイ脆弱性を悪用したサイバー攻撃の急増に関する調査結果を公開

AIを活用したクラウド型サイバーセキュリティソリューションの世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、MicrosoftのSharePointに発見された重大な脆弱性（CVE-2025-53770）を悪用するサイバー攻撃の世界的な急増に関する調査結果を発表しました。

主要な調査結果：

• オンプレミスのMicrosoft SharePointで発見された重大なゼロデイ脆弱性（CVE-2025-53770）を積極的に悪用した攻撃の世界的な急増が確認されています。 

• 「ToolShell」と命名されたこのキャンペーンは、オンプレミスのSharePoint Serverへの不正アクセスを可能にし、企業環境に深刻なリスクをもたらしています。 

• CPRは2025年7月7日に悪用の兆候を初めて確認し、以来、北米と西ヨーロッパの政府機関、電気通信業界、ソフトウェア業界において、多くのサーバーに対する侵害を確認しています。

• このキャンペーンでは攻撃者によるIvanti Endpointの既知の脆弱性の悪用も判明しており、一層の警戒が必要です。

現在、重要なゼロデイ脆弱性である「SharePointのリモートコード実行（RCE）」が、サイバー攻撃に活発に悪用されています。この「CVE-2025-53770」として追跡されてきた脆弱性は「ToolShell」の名称で呼ばれ、オンプレミスのMicrosoft SharePoint Serverに悪影響を及ぼしています。これにより、攻撃者は認証されていないにも関わらず、完全なアクセス権の取得と、任意のコードのリモート実行が可能になります。この件に関してMicrosoftは公式ガイダンスを発表、またCISAからは警告が出されており、7月20日以降に公開された最新のパッチ適用などガイダンスに沿って早急に対応することを推奨します。

CPRによる調査結果

CPRは、この脆弱性に対する悪用の試みが7月7日に初めて観測され、西ヨーロッパの主要な政府機関が標的となったことを発見しました。攻撃は7月18日および19日に激化し、以下のIPアドレスに関連するインフラが使用されていました。

• 104.238.159.149

• 107.191.58.76 

• 96.9.125.147 

上記のIPアドレスの1つは、「Ivanti EPMM（エンドポイントマネージャーモバイル）脆弱性チェーン」（CVE-2025-4427およびCVE-2025-4428）に対する悪用にも関連していました。

攻撃ベクターにはカスタムのWebシェルが含まれており、それによってVIEWSTATEペイロードからパラメータ解析を実行することで、逆シリアル化攻撃が可能になっています。この攻撃の標的となった主な業界は、以下の通りです。

• 政府機関（49%）

• ソフトウェア業界（24%）

• 電気通信業界（9%）

攻撃対象となった主要な地域は北米と西ヨーロッパで、特にSharePointをオンプレミスで運用している組織が影響を受けました。

この攻撃が防御側と企業にとって意味すること
この悪用キャンペーンが浮き彫りにしているのは、レガシーおよびオンプレミスのインフラに対する監視と防御の重要性です。脅威アクターは、パッチが適用されていないCVE-2025-53770のようなSharePointの脆弱性の悪用を急速に進め、以前から知られている脆弱性（CVE-2025-49706など）と連鎖させることで、初期アクセスの獲得と権限の昇格を可能にしています。

この事例は、機密データおよび重要システムを管理する業界を狙う標的型攻撃において、SharePointのゼロデイ脆弱性が悪用されるという、新たな一例となっています。

防御のための推奨事項
SharePointの脆弱性（CVE-2025-53770）および関連する脅威がもたらすリスクの軽減には、下記の対策が重要です。

• マルウェア対策スキャンインターフェース（AMSI）が有効になっていることを確認

• SharePoint ServerのASP.NETマシンキーの定期的なローテーションを実施

• チェック・ポイントのHarmony Endpointを実装し、サーバー上でのポストエクスプロイト活動をブロック

• 可能な場合にはPrivate Accessツールを使用し、インターネットからのSharePoint Serverへのアクセスを制限

• チェック・ポイントのQuantum Gateway IPSパッケージ635254838を更新し、保護が「防止」に設定され、SharePoint Serverのトラフィック検査を実施することを確認 

疑わしい活動の兆候がある場合は、Check Point Incident Responseまでご連絡ください。

本プレスリリースは、米国時間2025年7月21日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/ 
X: https://x.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://x.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp