概要

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年7月1日、MicrosoftのSharePoint Serverに存在するリモートコード実行(RCE)脆弱性CVE-2026-45659を既知悪用脆弱性(KEV)カタログに追加した。Microsoftがパッチリリース時に「悪用の可能性は低い」と評価していたにもかかわらず、実際に攻撃者による活発な悪用が確認されたことが明らかになった。CISAはBinding Operational Directive 26-04に基づき、連邦政府機関に2026年7月4日(独立記念日)までのパッチ適用を義務付けており、緩和策が取れない場合は対象システムの運用停止を命じている。

脆弱性の技術的詳細

CVE-2026-45659の根本原因は「信頼できないデータのデシリアライゼーション」にある。CVSSスコアは8.8(高)で、攻撃ベクトルはネットワーク経由(AV:N)、攻撃の複雑性は低(AC:L)と評価されており、インターネットから遠隔での悪用が可能だ。

攻撃に必要な権限は最小限にとどまる。Microsoftは「管理者やその他の昇格された権限は不要で、サイトメンバー権限を持つ認証済みの攻撃者がリモートからコードを実行できる」と説明している。ユーザーの操作も不要であるため、社内ネットワークへの侵入に成功した攻撃者が容易に横展開に利用できる性質を持つ。

影響を受けるバージョンはSharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Editionの3製品で、いずれもオンプレミス版のSharePoint Serverが対象となる。なお、この脆弱性は2026年5月21日にMicrosoftがセキュリティ更新プログラムを公開しており、「5月の定例更新に誤って含まれなかった」として後から修正パッチが提供されていた。

Microsoftの評価と実態のギャップ

注目すべき点は、Microsoftがパッチリリース時に設定した「悪用の可能性は低い(Exploitation Less Likely)」という評価が、実際の脅威状況と乖離していたことだ。セキュリティ研究者らは従前より、公開されたパッチが攻撃者にとって逆エンジニアリングの手がかりを与えるリスクを指摘している。特に攻撃の複雑性が低く認証要件も緩やかな脆弱性は、パッチ公開後に急速に武器化される傾向がある。

脅威インテリジェンス企業のShadowserverは現在、インターネットに公開されている10,000台以上のSharePointサーバーを追跡しているが、パッチ適用率は不明だとしている。また、ランサムウェアグループStorm-2603が2025年半ばからSharePointの脆弱性を悪用してWarlockランサムウェアを展開する活動が確認されており、今回の脆弱性との関連が懸念されている。

SharePointを標的とする攻撃の背景

SharePoint Serverは企業・政府機関における重要な文書管理・コラボレーション基盤として広く利用されており、サイバー攻撃者にとって長年にわたる標的となってきた。CISAは2021年以降、実際に悪用されたMicrosoft SharePointの脆弱性を11件KEVカタログに追加しており、そのうち7件がランサムウェアキャンペーンで利用されている。

今回のCISAによる土曜日締め切りという異例の緊急対応は、実被害の深刻さを示している。SharePoint Serverをオンプレミスで運用する組織は、2026年5月の累積更新プログラムを早急に適用するとともに、インターネットへの不必要な公開を見直すことが急務となっている。