CISA、SharePointの積極的な悪用が続く脆弱性への緊急パッチ適用を要請(CVE-2026-56164)

セキュリティニュース

投稿日時: 更新日時:

CISA、SharePointの積極的な悪用が続く脆弱性への緊急パッチ適用を要請(CVE-2026-56164)

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年7月14日、Microsoft SharePoint Serverのオンプレミス版において、複数の脆弱性が実際の攻撃で悪用されているとして、システムの緊急な堅牢化を求める勧告を公表しました。当サイトで既報の通り、Microsoftは同日の月例パッチでSharePoint Serverの権限昇格の脆弱性(CVE-2026-56164)を修正していましたが、CISAはこれを含む3件の脆弱性についてすでに実際の悪用を確認しているとして、既知の悪用された脆弱性(KEV)カタログへ追加し、連邦機関に対しわずか3日以内の対応を義務付けています。

サマリー

  • CISAは2026年7月14日、SharePoint Serverのオンプレミス版(Subscription Edition、2019、2016)を対象に、脆弱性CVE-2026-32201、CVE-2026-45659、CVE-2026-56164の3件が実際の攻撃で悪用され、脅威アクターが不正アクセスを取得していると公表した
  • これらの脆弱性の悪用により、リモートコード実行(RCE)の確立に加え、Internet Information Services(IIS)のマシンキーの窃取やデシリアライゼーション技術を用いた、侵害後の永続化・マルウエア展開といった攻撃後の活動が行われているとされる
  • CISAはこれら3件をKEV(Known Exploited Vulnerabilities)カタログへ、CVE-2026-32201は2026年4月14日、CVE-2026-45659は同年7月1日、CVE-2026-56164は同年7月14日にそれぞれ追加した。連邦文民機関(FCEB)は、拘束的運用指令(BOD)26-04に基づき、CVE-2026-56164について2026年7月17日までの対応が義務付けられている
  • CISAはあわせて、Microsoftが7月14日に修正した2件の脆弱性(CVE-2026-55040、CVE-2026-58644)についても、本稿執筆時点では悪用は確認されていないものの、攻撃者にとって魅力的な標的になりうるとして注意を呼びかけている。なお、Microsoftは7月15日、CVE-2026-58644(CVSS 9.8、信頼できないデータのデシリアライズに起因するRCE)についてもアドバイザリを更新し、実際の悪用を確認したことを明らかにしている
  • インターネットセキュリティの監視団体Shadowserverの集計によれば、インターネットに公開されているMicrosoft SharePointサーバーは約1万台にのぼり、うち800台超が未パッチの状態にあるとされる
  • CISAは2021年11月以降、Microsoft SharePointの脆弱性について合計11件をKEVカタログに追加しており、うち7件はランサムウェア攻撃でも悪用されている
項目 内容
公表日 2026年7月14日(CISA勧告)
実際に悪用が確認された脆弱性 CVE-2026-32201、CVE-2026-45659、CVE-2026-56164(3件)
対象 SharePoint Server Subscription Edition、2019、2016(オンプレミス版全て)
悪用後の攻撃活動 RCE確立、IISマシンキーの窃取、デシリアライゼーションによる永続化・マルウエア展開
KEVカタログ追加日 CVE-2026-32201(4月14日)、CVE-2026-45659(7月1日)、CVE-2026-56164(7月14日)
連邦機関の対応期限 CVE-2026-56164について2026年7月17日まで(BOD 26-04)
注意喚起(悪用未確認、7/15に一部で悪用確認) CVE-2026-55040、CVE-2026-58644(後者は7/15に悪用確認へ更新)
インターネット公開サーバー数 約1万台(うち800台超が未パッチ、Shadowserver調べ)
SharePoint関連KEV登録の累計 2021年11月以降11件、うち7件はランサムウェアでも悪用

何が起きたか

CISAの勧告によれば、SharePoint Serverのオンプレミス版全てのサポート対象バージョン(Subscription Edition、2019、2016)において、脆弱性CVE-2026-32201、CVE-2026-45659、CVE-2026-56164の悪用により、脅威アクターが不正アクセスを取得していることが確認されています。これらの脆弱性を悪用した攻撃では、リモートコード実行の確立に加え、侵害後の活動としてInternet Information Services(IIS)のマシンキーを窃取し、デシリアライゼーション技術を用いて永続化を確保したうえでマルウエアを展開するという、一連の攻撃パターンが観測されています。CISAは組織に対し、影響を受けるSharePointサーバーを悪用や異常な活動の兆候について注意深く監視するよう求めています。

このうち最も新しいCVE-2026-56164は、権限昇格の脆弱性で、未認証のままリモートから悪用可能とされ、Microsoftの2026年7月の月例パッチで修正されています。CISAは同日、この脆弱性をKEVカタログへ追加し、拘束的運用指令(BOD)26-04に基づき、連邦文民機関に対し2026年7月17日までの対応を義務付けました。これは追加からわずか3日という極めて短い期限です。対応が困難な場合は、当該システムの利用自体を中止することも選択肢として示されています。CVE-2026-32201は2026年4月にゼロデイとして悪用されたなりすまし(スプーフィング)の脆弱性で当時修正済み、CVE-2026-45659は信頼できないデータのデシリアライゼーションに関する脆弱性で7月1日にKEVカタログへ追加されていました。

悪用未確認とされていた脆弱性も新たに悪用が判明

CISAはあわせて、Microsoftが7月14日の月例パッチで修正した別の2件の脆弱性、CVE-2026-55040(セキュリティ機能の回避、CVSS 9.1)とCVE-2026-58644(信頼できないデータのデシリアライズに起因するRCE、CVSS 9.8)についても言及し、本稿執筆時点(7月14日時点)では実際の悪用は確認されていないものの、パッチを適用しないまま放置した場合には組織にとってリスクとなりうると警告していました。しかし、Microsoftは翌7月15日、CVE-2026-58644のアドバイザリを更新し、実際の悪用が野生下で検出されたことを明らかにしています。この脆弱性は、未認証の脅威アクターが脆弱なシステム上でリモートからコードを実行できるというものです。これにより、SharePoint Serverを巡って実際に悪用が確認された脆弱性は、CVE-2026-32201・CVE-2026-45659・CVE-2026-56164・CVE-2026-58644の合計4件に拡大したことになります。

情報システム部門への示唆

CISAは、侵害の検知・是正に向けて、最新のパッチの適用に加え、脅威ハンティング活動の完了後にIISのマシンキーをローテーション(再発行)することを推奨しています。これは、攻撃者がSharePointへの侵入時にこれらのキーを標的にする挙動が繰り返し観測されているためです。あわせて、Antimalware Scan Interface(AMSI)統合の有効化と、SharePointのリクエストボディスキャンモードを「Full」に設定することも、緩和策として推奨されています。ただし、これらはあくまで暫定的な緩和策であり、該当するセキュリティ更新プログラムの適用が根本的な対応になります。

自組織でSharePoint Serverのオンプレミス版を運用している場合、特にインターネットに公開された構成については、最優先でパッチ適用状況を確認してください。Windowsのカニュムレーティブ更新プログラムを適用したからといって、SharePoint自体の更新が自動的に完了するわけではない点にも注意が必要です。SharePointのセキュリティ更新プログラムは、製品固有のサービシングプロセスを通じて個別に特定・展開・検証する必要があります。パッチ適用後も、不正な管理者アクティビティ、予期しないWebシェル、不審なプロセス、SharePointアプリケーションファイルの改変といった侵害の痕跡がないか、既存のログを遡って確認することをお勧めします。当サイトで既報の通り、Microsoftの2026年7月の月例パッチは過去最大規模の569件(一部報道では622件)にのぼり、その中でもSharePointは今回のように複数の脆弱性が同時に、かつ実際に悪用される形で標的にされる、優先度の高いコンポーネントであることが改めて示されました。2021年以降、SharePointの脆弱性が繰り返しCISAのKEVカタログに追加されランサムウェア攻撃にも悪用されてきた経緯を踏まえ、SharePoint環境の棚卸しとインターネット露出の最小化を、継続的な優先事項として位置づけることが重要です。

出典