GMOインターネットグループ
オンプレミスのSharePoint Serverへのシステム侵害をつながる脅威を検出可能に
GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)は、2025年8月6日、ホワイトハッカーのノウハウを詰め込んだアタックサーフェスマネジメント (Attack Surface Management、以下ASM(※1))ツール「GMOサイバー攻撃 ネットde診断 ASM」の機能を拡張し、2025年7月19日に発表された重大な脆弱性「Microsoft SharePoint Server のリモートコード実行の脆弱性(CVE-2025-53770)」が検出可能となりました。
(※1)インターネットに公開されているサーバーやネットワーク機器などIT資産の情報を収集・分析することにより、不正侵入経路となりうる脆弱性やそのリスクを検出・評価する取り組みのこと。
【Microsoft SharePoint Serverのリモートコード実行の脆弱性(CVE-2025-53770)】
今回「GMOサイバー攻撃 ネットde診断 ASM」で検出が可能になった重大な脆弱性「Microsoft SharePoint Server のリモートコード実行の脆弱性(以下、CVE-2025-53770)」は、CVSSスコア(※2)9.8(最高値は10.0)、重要度は4段階中もっとも高い「クリティカル(Critical)」と極めて危険度が高い脆弱性です。
この「CVE-2025-53770」は、インターネット経由で特別な認証なしに任意のコードを実行できるという、極めて深刻な脆弱性です。この脆弱性を悪用されると、攻撃者によってシステム内部に不正侵入され、情報漏えいや業務停止といった被害が発生する可能性があります。
なお、本脆弱性の対象はオンプレミス環境のSharePoint Serverに限定され、Microsoft 365の「SharePoint Online」は影響を受けません。
(※2) システムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標で、Common Vulnerability Scoring Systemの略
【「GMOサイバー攻撃 ネットde診断 ASM」追加診断項目】
「GMOサイバー攻撃 ネットde診断 ASM」では重大な脆弱性「CVE-2025-53770」への対応として、以下2件の診断項目を追加しました。脆弱性診断を実施するにあたって、ユーザーは保有しているSharePointのドメイン(例:sharepoint.xxx.com)の登録が必要です。
|
既知の脆弱性が存在するソフトウェアの利用 (Microsoft SharePoint server) |
当該の脆弱性が検知された場合に、指摘項目として表示されます。 |
|---|---|
|
Microsoft SharePoint に関する高リスク脆弱性(CVE-2025-53770)が存在する可能性 |
SharePoint の利用が確認された場合、指摘項目として表示されます |
【「GMOサイバー攻撃 ネットde診断 ASM」診断エンジン開発者のコメント】
■診断エンジン開発者 大西 和貴
今回対象となる重大な脆弱性(CVE-2025-53770)は、特別な認証を必要とせずに任意のコードを実行できる極めて深刻なものであり攻撃者にとって魅力的な標的となります。オンプレミス環境の SharePoint Server はインターネットに公開されているケースも多く、既に攻撃の兆候も観測されていることから迅速な検出と対策が求められます。
この度の機能拡張では、既知の脆弱性のバージョン検出だけでなく対象システムが SharePoint である可能性を非侵襲的な手法で判別できるよう設計しました。これにより、ユーザーが自組織のIT資産のリスクを事前に把握し対策に移れる体制を整える一助となればと考えています。
【GMOサイバーセキュリティ byイエラエ】
(https://gmo-cybersecurity.com/)
GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を目指して、各種脆弱性診断、ペネトレーションテスト、セキュリティコンサルタント、SOCサービス、フォレンジック調査まで包括的にサイバーセキュリティ対策サービスをご提供します。
以上
【 GMOサイバーセキュリティ byイエラエ株式会社】
URL:https://gmo-cybersecurity.com/)
会社名 GMOサイバーセキュリティ byイエラエ株式会社
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役CEO 牧田 誠
事業内容 ■Webアプリ及びスマホアプリ脆弱性診断 ■ペネトレーションテスト
■不正利用(チート)診断 ■IoT脆弱性診断 ■自動車脆弱性診断
■フォレンジック調査 ■CSIRT支援 ■クラウドセキュリティ診断
■クラウドセキュリティ・アドバイザリー
資本金 1億円
【GMOインターネットグループ株式会社】(URL:https://www.group.gmo/)
会社名 GMOインターネットグループ株式会社 (東証プライム市場 証券コード:9449)
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役グループ代表 熊谷 正寿
事業内容 持株会社(グループ経営機能)
■グループの事業内容
インターネットインフラ事業
インターネットセキュリティ事業
インターネット広告・メディア事業
インターネット金融事業
暗号資産事業
資本金 50億円
Copyright (C) 2025 GMO Cybersecurity by Ierae, Inc. All Rights Reserved.