Syhunt Hybrid 7.1.6.5 は 重大なSharePointのゼロデイ脆弱性「ToolShell」（CVE-2025-53770 / CVE-2025-53771）を検出できるようになりました。

本日、オンプレミスの Microsoft SharePoint Server に影響を与える、新たに公開された「ToolShell」バックドア（CVE-2025-53770 / CVE-2025-53771）の自動検出機能を追加した Syhunt Hybrid 7.1.6.5 をリリースしました。今回のアップデートは、すべての Syhunt Hybrid ユーザーでご利用いただけます。

＜なぜ重要？「ToolShell」とは？＞

「ToolShell」は2025年7月18日以降から実際に攻撃目的で悪用されており、攻撃者は認証なしでリモートでコード実行と、SharePointのコンテンツ全体にアクセスできる状態になっています。これを受けて、Microsoft が緊急パッチを公開し、CISA（アメリカ合衆国サイバーセキュリティ・インフラセキュリティ庁）も 警告を発表するなど、世界中で対応が急がれています。

ただし、パッチ適用しただけでは不十分で、ToolShell による不正なコードや痕跡がシステム内に残っていないかの確認が重要です。

今回のアップデートでは、開発元が入手したエクスプロイトのソースコードや、リアルタイムで記録されたインシデント対応チームの知見に基づいた検出機能が追加されています。
（DASTおよびSAST機能の強化により、SharePoint関連のWebフォルダやコードに潜む ToolShell の痕跡を検出可能となりました）

【対応手順】

1. すべてのオンプレミスのSharePointサーバーに、Microsoftの緊急パッチ を適用する
・SharePoint Server 2019: KB5002754
・SharePoint Server Subscription Edition: KB5002768
※SharePoint Server 2016向けのパッチは現時点では未提供

2. Syhunt Hybrid を 7.1.6.5 へ更新する

3. Syhunt Dynamic スキャンを実行
『Application Scan（デフォルト）』 を使用して、攻撃者によって作成された ToolShell バックドアの有無をチェック

4. Syhunt Code スキャンを実行
『Application Code Scan（デフォルト）』 を使用して、コード内に存在するバックドアを削除する
対象フォルダ：C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\

5. SharePoint Server の ASP.NET マシンキーをローテート
（Microsoft の案内ページを参照）

今回のアップデート内容

• DAST： Web層のテスト中に、ToolShellバックドアのライブインプラントを検出可能に
• SAST：パターンライブラリが ToolShell のコードパターンを認識し、Web Server Extensions を含む任意のソースコード内から検出可能に