米国土安全保障省傘下のサイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年7月1日、Microsoft SharePoint Serverに存在するリモートコード実行の脆弱性CVE-2026-45659について、実際の悪用が確認されたとして既知の悪用された脆弱性(KEV)カタログに追加しました。
この脆弱性はすでに2026年5月にパッチが提供済みでしたが、Microsoft自身は当初、悪用される可能性は低いという評価を下していました。今回のKEV追加は、その評価を覆す形で現実に攻撃が行われていることを裏付けるものです。連邦文民行政機関(FCEB)に対する対応期限は7月4日と、KEV追加からわずか3日という異例の短さに設定されています。当サイトでは以前、2025年に猛威を振るったSharePointのToolShell脆弱性群を取り上げましたが、今回はそれとは別の、2026年に新たに確認された脆弱性です。
サマリー
- CISAは2026年7月1日、Microsoft SharePoint Serverの脆弱性CVE-2026-45659(CVSS 8.8)を、実際の悪用が確認されたとしてKEVカタログに追加した
- 脆弱性の内容は、信頼できないデータのデシリアライズに起因するリモートコード実行で、認証済みかつサイトメンバー相当の低い権限を持つ攻撃者であれば、管理者権限がなくてもサーバー上で任意のコードを実行できる
- 対象はSharePoint Server Subscription Edition、SharePoint Server 2019、SharePoint Enterprise Server 2016のオンプレミス版で、修正プログラムは2026年5月に提供済み
- Microsoftは修正プログラム提供時点でこの脆弱性の悪用可能性を低いと評価していたが、CISAのKEV追加はこの評価を覆す実際の悪用証拠に基づくもの
- 連邦文民行政機関に対する対応期限はBinding Operational Directive 26-04に基づき2026年7月4日に設定されており、KEV追加からわずか3日という短さになっている
- SharePointは2026年に入ってから悪用が確認された脆弱性としてはCVE-2026-45659が3件目にあたり、パッチ公開から悪用確認までの期間が年々短くなっている傾向がある
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-45659 |
| CVSSスコア | 8.8(高) |
| 脆弱性の種類 | 信頼できないデータのデシリアライズに起因するリモートコード実行 |
| 対象製品 | SharePoint Server Subscription Edition、SharePoint Server 2019、SharePoint Enterprise Server 2016(いずれもオンプレミス版) |
| 攻撃条件 | 認証済み、かつサイトメンバー相当の権限があれば管理者権限不要 |
| 修正プログラム提供日 | 2026年5月(アウトオブバンド提供、リリースノートへの記載は5月27日に追記) |
| KEVカタログ追加日 | 2026年7月1日 |
| 連邦機関の対応期限 | 2026年7月4日(BOD 26-04に基づく) |
何が起きたか
CVE-2026-45659は、SharePoint Serverが信頼できないデータをデシリアライズする際の処理に起因するリモートコード実行の脆弱性です。Microsoftの説明によれば、認証済みの攻撃者であれば、サイトメンバーという比較的低い権限さえ持っていれば、管理者権限やその他の昇格した権限を必要とせずにサーバー上で任意のコードを実行できるとされています。サイトメンバー権限は、多くの企業のSharePoint環境において一般社員に広く割り当てられている標準的なアクセスレベルであり、攻撃のハードルが実質的に低い点が今回の脆弱性の厄介なところです。
この脆弱性自体は2026年5月に修正プログラムが提供されていました。しかし、当初のセキュリティ更新プログラムのリリースノートにはこの脆弱性についての記載が漏れており、Microsoftが正式にアドバイザリへ追記したのは5月27日になってからでした。この経緯により、5月時点でパッチ一覧を確認してSharePoint関連の修正がないと判断し、適用の優先順位を下げてしまった組織が存在する可能性があります。CISAが今回KEVカタログに追加した悪用の空白は、まさにこの見落としが生まれやすい期間を突く形で発生したとみられています。
Microsoftは修正プログラム提供時点で、この脆弱性の悪用可能性についてExploitation Less Likely(悪用される可能性は低い)という評価を付けていました。しかし2026年7月1日、CISAはこの脆弱性が実際に悪用されていることを確認したとして、KEVカタログへの追加に踏み切っています。KEVカタログはCISAが投機的に追加するものではなく、現実の悪用証拠が確認された脆弱性のみを掲載する性質のものであるため、この追加自体がMicrosoftの当初評価を覆す明確な証拠になっています。攻撃者が誰であるか、どのような目的で悪用しているかについては、本稿執筆時点でCISAから詳細は公表されていません。
原因
技術的な原因は、SharePoint Serverがユーザーから渡されたシリアライズ済みのオブジェクトを、十分な検証を行わないままデシリアライズしてしまう設計にあります。このクラスの脆弱性は一般にCWE-502(信頼できないデータのデシリアライズ)に分類され、攻撃者が細工したシリアライズ済みのペイロードを送り込むことで、本来意図されていないコードの実行を引き起こせてしまいます。ネットワークエンジニアとして境界防御の設計に携わってきた経験から言うと、この種の脆弱性は認証さえ突破されれば内部の権限モデルをすり抜けやすいという特徴があり、境界を越えられた後の被害範囲が広がりやすい点に注意が必要です。
もう一つの原因として指摘できるのは、SharePointがそもそも企業の文書管理やイントラネットの中核として使われることが多く、インターネットに公開されているケースも少なくないという運用実態です。攻撃者から見れば、SharePointは侵入後に機密文書や認証情報へアクセスできる価値の高い標的であり、初期侵入からランサムウェア展開に至るまでの攻撃チェーンの起点として繰り返し狙われてきました。当サイトで以前紹介した2025年のSharePointゼロデイ攻撃で米国の核安全保障機関が影響を受けた事例でも触れた通り、コラボレーション基盤としての利便性の高さそのものが、攻撃対象としての価値を押し上げる構造になっています。SharePointを巡っては2026年に入ってからCVE-2026-45659が3件目の悪用確認事例とされており、パッチ提供から実際の悪用確認までの期間が短縮し続けている傾向も、あわせて押さえておくべき文脈です。
情報システム部門への示唆
自組織でオンプレミスのSharePoint Serverを運用している場合、まず優先すべきはビルド番号の確認です。SharePoint Server 2019であればビルド16.0.10416.20004以降、SharePoint Enterprise Server 2016であればビルド16.0.5552.1002以降になっているかを確認し、これを下回っている場合は速やかに2026年5月のセキュリティ更新プログラムを適用してください。5月時点で他のパッチを適用した際にSharePoint関連の更新がないと判断していた場合は、この機会に改めてビルド番号ベースでの確認を行うことをお勧めします。
あわせて、サイトメンバー権限を持つアカウントの棚卸しも重要です。契約社員のアカウントやサービスアカウント、退職者のアカウントなど、サイトメンバー以上の権限を持ちながら実際には利用されていないアカウントがないかを確認し、不要なものは権限の縮小または削除を行ってください。今回の脆弱性は管理者権限を必要としないため、こうした見落とされがちなアカウントも攻撃の起点になり得ます。
すでに悪用の証拠がある脆弱性である以上、パッチ適用だけで対応を終わらせず、侵害調査もあわせて実施することをお勧めします。具体的には、SharePointのワーカープロセス(w3wp.exe)からコマンドインタープリタが起動されていないか、SharePoint関連のディレクトリに見慣れないファイルが作成されていないか、通常はSharePointへアクセスしないアカウントからの認証試行がなかったかといった点をログから確認してください。インターネットに公開されたSharePoint環境を持つ組織は、社内に閉じた環境よりも優先度を上げて調査を進めることをお勧めします。
出典
- SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation – The Hacker News
- Microsoft said exploitation was ‘less likely’ … but CISA just added SharePoint RCE to KEV list – The Register
- CISA Warns of Actively Exploited Microsoft SharePoint Vulnerability – SecurityWeek
- CISA: Microsoft SharePoint RCE flaw now actively exploited – BleepingComputer
- CVE-2026-45659: Microsoft SharePoint Server Deserialization Remote Code Execution (CISA KEV) – Threat-Modeling.com
- Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706) – セキュリティ対策Lab
- 【2025年】ゼロデイ攻撃の事例 – セキュリティ対策Lab




-200x200.png)



