Sitecore製品でゼロデイ脆弱性CVE-2025-53690が悪用、サンプルキー使用で深刻な侵害被害

正体不明の攻撃者が複数のSitecore製品の設定脆弱性を悪用し、公開された鍵を介してリモートコード実行を達成、感染マシンにマルウェアを展開している。

Sitecore Experience Manager、Experience Platform、Experience Commerce、Managed Cloudの全バージョンが、顧客管理の静的マシンキーを用いたマルチインスタンスモードで展開されている場合、ViewState逆シリアル化脆弱性CVE-2025-53690の影響を受ける可能性があるとSitecoreが水曜日のセキュリティ速報で発表した。この脆弱性はSitecore XP 9.0以前およびSitecore Active Directory 1.4以前のバージョンの展開手順で提供されたサンプルキーを使用している顧客に影響する。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は9月4日（木曜日）にCVE-2025-53690を既知の悪用された脆弱性カタログに追加した。Mandiantは攻撃者がASP.NETマシンキーを使用してWEEPSTEELマルウェアを展開した攻撃を早期に阻止したと報告している。

From: Attackers snooping around Sitecore, dropping malware via public sample keys

【編集部解説】

今回のSitecore脆弱性CVE-2025-53690の事例は、現代のサイバーセキュリティの根本的な課題を浮き彫りにしています。この脆弱性は技術的な欠陥ではなく、設定ミスによって生じたものです。

攻撃者が悪用したASP.NET machine keyは、もともとSitecoreが2017年以前の展開ガイドでサンプルとして提供していたものでした。ViewStateはASP.NETの標準機能で、ページの状態を保持するためにHTMLの隠しフィールドに情報を格納します。この機能自体は便利ですが、machine keyが漏洩すると、攻撃者は正当なViewStateペイロードに偽装した悪意のあるコードを送信できるようになります。

特に注目すべきは、攻撃者が展開したWEEPSTEELマルウェアの巧妙さです。このマルウェアは、システム情報、ネットワーク構成、ユーザーアカウントなどの機密データを収集し、それを通常のViewState応答に偽装して外部に送信していました。つまり、一見正常なWebトラフィックに見せかけて情報窃取を行っていたのです。

この攻撃手法が示唆する最も重要な点は、設定管理の重要性です。開発者やシステム管理者がドキュメントのサンプルコードをそのまま本番環境で使用してしまうケースは決して珍しくありません。しかし、今回のように公開されたサンプルキーを使い続けることは、家の鍵を玄関先に置いておくようなものです。

さらに懸念されるのは、2025年に入ってからViewState関連の攻撃が急増していることです。マイクロソフトは2月に3,000件の公開されたASP.NET machine keyを発見したと報告しており、4月にはGladinetのCentreStack、5月にはConnectWise、7月にはSharePoint Serverでも同様の攻撃が確認されています。これは単発的な事件ではなく、システム的な問題を示しています。

今回の事例で特に印象的だったのは、攻撃者の深い技術的理解です。Mandiantの調査によると、攻撃者は製品の構造を熟知しており、初期侵入から権限昇格、横展開まで非常に効率的に進行していました。これは、攻撃者がSitecoreに特化した専門知識を持っていたか、または事前に綿密な調査を行っていたことを示唆しています。

この脆弱性が企業のデジタルトランスフォーメーションに与える影響も無視できません。Sitecoreは世界的な大企業で広く利用されており、HSBC、ロレアル、トヨタ、ユナイテッド航空などが顧客として挙げられています。これらの企業のWebプラットフォームが侵害されれば、顧客データの漏洩や事業継続性への深刻な影響が生じる可能性があります。

幸い、現在のSitecoreの展開では自動的にユニークなmachine keyが生成されるため、新規インストールは安全です。しかし、古いバージョンを使用している組織は緊急の対応が必要です。CISAが迅速にこの脆弱性を既知の悪用された脆弱性カタログに追加したことからも、その重要性が分かります。

【用語解説】

ViewState（ビューステート）：ASP.NETの標準機能で、Webページとコントロールの状態を保持するために隠しHTMLフィールドに情報を格納する仕組み。ポストバック間でのページ状態の維持に使用される。

ViewState逆シリアル化攻撃：攻撃者がサーバーを騙して悪意のあるViewStateペイロードを正当なデータとして処理させる攻撃手法。machine keyが漏洩している場合に可能となる。

ASP.NET machine key：ASP.NETアプリケーションのViewStateの整合性と機密性を保護するために使用される暗号化キー。これが侵害されると、アプリケーションは正当なペイロードと悪意のあるペイロードを区別できなくなる。

CVE-2025-53690：今回のSitecore製品群に影響するViewState逆シリアル化脆弱性に割り当てられた脆弱性識別番号。

WEEPSTEEL：攻撃者が使用したマルウェアで、システム、ネットワーク、ユーザー情報を収集し、通常のViewState応答に偽装して外部に送信する機能を持つ内部偵察ツール。

リモートコード実行（RCE）：攻撃者が遠隔地から対象システム上で任意のコードを実行できる攻撃手法。今回の脆弱性により可能となった。

既知の悪用された脆弱性カタログ（KEV）：CISAが管理する、実際に悪用が確認された脆弱性のリスト。組織に緊急対応を促すために使用される。

横展開（Lateral Movement）：攻撃者が初期侵入後、ネットワーク内の他のシステムやリソースへのアクセスを拡大する活動。

【参考リンク】

1. Sitecore公式サイト（外部）
   デンマーク発のデジタルエクスペリエンスプラットフォーム企業。CMS、マーケティング自動化、コマース機能を統合したソリューションを提供。
2. Mandiant公式サイト（外部）
   サイバーセキュリティ専門企業でGoogle Cloudの子会社。インシデント対応、脅威インテリジェンス、セキュリティコンサルティングサービスを提供。
3. CISA公式サイト（外部）
   米国国土安全保障省の一部門として、政府と民間のサイバーセキュリティとインフラ保護を担当する連邦機関。

【参考記事】

1. ViewState Deserialization Zero-Day Vulnerability in Sitecore Products（外部）
   Mandiantによる攻撃の詳細分析。WEEPSTEELマルウェアの技術的特徴、攻撃手順、使用されたツールについて解説。
2. Sitecore zero-day vulnerability exploited by attackers（外部）
   脆弱性の影響範囲、攻撃者の活動内容、対策方法について包括的に解説。マイクロソフトが発見した公開キーとの関連性も言及。
3. Sitecore Zero Day Sparks New Round of ViewState Threats（外部）
   2025年に入ってからのViewState関連攻撃の増加傾向を分析。ConnectWise、SharePoint等での類似攻撃事例との比較検討。
4. CVE-2025-53690: Mandiant and Sitecore Warn of Active Exploitation（外部）
   CVSS 9.0の高リスク評価、攻撃の技術的詳細、影響を受ける製品の一覧、推奨される対策措置について詳述。

【編集部後記】

この事例を読んで、ご自身の組織のセキュリティ設定を振り返ってみませんか。開発ドキュメントのサンプルコードをそのまま本番環境で使用していることはないでしょうか。こうした基本的な設定管理の重要性を改めて実感しています。ViewState攻撃は今年急増している手法ですが、皆さんの組織ではASP.NET環境の machine key管理をどのように行っていますか。また、サンプルキーの本番利用リスクについて、チーム内でどのような対策を講じているか、この機会に情報共有、交換をするのもいいのかもしれません。