【要対応】Microsoft SharePoint Server のデシリアライズ脆弱性 CVE-2026-45659 ― CISA KEV追加、認証済みRCEへの対応指針

Microsoft SharePoint Server に存在するデシリアライズ脆弱性 CVE-2026-45659(CVSS 3.1 基本値 8.8/High)が、2026年7月1日に CISA の「既知の悪用された脆弱性(KEV)カタログ」へ追加された。これは実際の攻撃が確認されたことを意味する。本脆弱性の悪用には低権限の認証済みアカウントが必要であり、無認証での侵入を許すものではない。しかし侵害済みアカウントや内部起点の横断的移動を想定すれば脅威は現実的だ。まず自社オンプレミス環境のバージョンを確認し、未適用であれば2026年5月21日公開の修正プログラムを速やかに適用したい。
何が起きたのか
CVE-2026-45659 は SharePoint Server における「信頼できないデータのデシリアライズ」(CWE-502)を原因とする脆弱性だ。攻撃者はネットワーク越しに細工したデータを送り込み、サーバー上で任意コードをリモート実行(RCE)できる。Microsoft は2026年5月21日の月例更新(Patch Tuesday)で修正プログラムを公開し、翌22日に NVD へ登録された。当初の深刻度評価は「重要(Important)」であったが、2026年7月1日に CISA が KEV カタログへ追加したことで状況は変わった。KEV への掲載は「概念実証にとどまらず、実際の攻撃での悪用が確認された」という米政府の公式認定であり、対応の優先度を引き上げる客観的な根拠となる。
影響を受けるバージョン
以下のオンプレミス製品が対象となる。なお SharePoint Online(Microsoft 365 クラウド版)は対象外であり、クラウド移行済み環境では本脆弱性の影響を受けない。
- SharePoint Enterprise Server 2016 ― ビルド 16.0.5552.1002 未満 が影響対象
- SharePoint Server 2019 ― ビルド 16.0.10417.20128 未満 が影響対象
- SharePoint Server Subscription Edition ― ビルド 16.0.19725.20280 未満 が影響対象
リスクの正しい見積り ― 『認証済み』の意味
CVSS ベクトルは AV:N/AC:L/PR:L/UI:N であり、「ネットワーク経由・攻撃複雑度低・低権限が必要・ユーザー操作不要」を示す。悪用にはサイトメンバー相当の認証済みアカウントが最低限必要であり、インターネット上の不特定多数が即座に悪用できる性質ではない。この点は過大評価を避けるうえで重要だ。一方で軽視も禁物である。フィッシングや資格情報窃取によって低権限アカウントが侵害されれば、そこを踏み台に本脆弱性を突いてサーバー上でのコード実行を達成し、さらなる横断的移動(ラテラルムーブメント)へとつながるシナリオは現実的だ。CISA が KEV に追加したという事実は、この攻撃チェーンが実際に観測されていることを裏付けている。リスクは「認証済みであれば安全」ではなく「認証の堅牢性とアカウント管理の質に依存する」と見るべきである。
対応策
- 修正バージョンへ更新: 各エディションの管理コンソールまたは Windows Update で現行ビルド番号を確認し、各エディションの修正バージョン(上記参照)以降へ更新する。適用後はサーバーの再起動と動作確認を行い、更新の完了をログ等で記録する。複数ファームを運用している場合はすべてを対象とすること。
- アカウント権限の最小化と多要素認証: SharePoint にアクセス可能なアカウントに付与している権限を棚卸しし、業務上不要なサイトメンバー権限を削除する。あわせて管理者アカウントおよびリモートアクセス経路に多要素認証(MFA)を適用し、資格情報の単体窃取による悪用リスクを低減する。
- 認証済み不審アクセスの監視: SharePoint の監査ログおよびサーバーイベントログを点検し、通常業務とは乖離した時間帯・IPアドレス・大量アクセスなど不審な認証済みセッションを検出する体制を整える。侵害済みアカウントを起点とした攻撃を早期に検知するため、SIEMやアラートルールへの組み込みも検討したい。
パッチの速度が、攻撃者の機会を決める。
Omamori AI の結論
- 事実: CVE-2026-45659 は認証済み低権限アカウントを悪用したオンプレミス SharePoint Server のRCE脆弱性(CVSS 8.8)であり、2026年7月1日に CISA KEV 追加=実際の悪用が確認された。修正プログラムは2026年5月21日に公開済みである。
- 判断軸: 「認証が必要」という性質はリスクをゼロにしない。アカウント管理の質・MFA 適用状況・監視体制が実質的な防御力を左右する。KEV 掲載は優先対応の客観的根拠として取締役会への説明にも活用できる。
- 打ち手: まず自社オンプレミス環境のビルド番号を確認し、未適用ならば修正プログラムを最優先で適用する。一次情報は MSRC と NVD を参照のこと。
経営者視点で考えるべきこと
本件が問いかけるのは個別の脆弱性対応にとどまらない。オンプレミス SharePoint を継続運用している組織では、どのバージョンが何台稼働しているかを即座に答えられる状態にあるかどうかが問われる。資産台帳の整備と月例更新の適用管理は、CISA KEV のような「悪用確認済み」脆弱性が出現したときの初動速度を直接左右する。また CISA は KEV に掲載した脆弱性への対応期限を連邦機関に義務付けているが、民間企業も同等の優先順位付けをリスク管理の基準として取り入れることが合理的だ。月例更新の運用ルールと承認フローを今一度点検し、修正プログラム公開から適用完了までのリードタイムを組織として把握しておきたい。
出典
・NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-45659
・Microsoft MSRC: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659
・CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
・The Hacker News: https://thehackernews.com/2026/05/microsoft-patches-sharepoint-rce-flaw.html
・Help Net Security: https://www.helpnetsecurity.com/2026/05/26/sharepoint-vulnerability-cve-2026-45659/


