SharePoint Serverに悪用が確認された脆弱性、CISAが緊急のパッチ適用を指示

2026年7月8日 09:29

印刷

記事提供元:Tech Times

(Brian Penny | Pixabay)

(Brian Penny | Pixabay)[写真拡大]

米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は、オンプレミス版のMicrosoft SharePoint Serverに存在する深刻なリモートコード実行の脆弱性(CVE-2026-45659)が実際に悪用されていることを確認した。これを受け、連邦政府機関に対して2026年7月4日(現地時間)までのパッチ適用を命じる強制指令を出している。この脆弱性は、特別な管理者権限を持たない一般の従業員や契約社員の標準的なアカウントからでも悪用が可能なため、早急な対応が求められている。

■一般社員のアクセス権限が悪用経路になる理由

今回の脆弱性「CVE-2026-45659」は、企業ネットワークへの侵入モデルにおいて、従来とは異なる脅威をもたらしている。通常、エンタープライズシステムを標的とする攻撃者は、ドメイン管理者アカウントやサービスアカウントといった特権アクセスを最初に奪取する必要がある。しかし、この脆弱性ではその必要がない。

Microsoftのアドバイザリによると、最低限の「サイトメンバー(Site Member)」権限を持つ認証済みユーザーであれば、誰でもこの脆弱性を誘発できるという。サイトメンバーは特権ロールではなく、SharePointのドキュメントライブラリで共同作業を行う従業員(ファイルの閲覧、アップロード、編集を行う一般スタッフ)に付与される標準的なアクセスレベルである。多くの企業において、この権限はチーム、部門、契約社員、さらには共有ワークスペースを利用するパートナー企業にまで広く配布されている。そのため、この脆弱性の攻撃対象領域は、組織がコラボレーションプラットフォームとしてSharePointを日常的に利用している規模に比例して拡大することになる。

■デシリアライズの脆弱性が機能する仕組み

この脆弱性は、信頼できないデータのデシリアライズ(CWE-502)に分類される。SharePointが構造化データを送信または保存する際、ドキュメントのメタデータ、セッション状態、アプリケーション構成などの複雑なオブジェクトを、転送や保存に適したフラットなバイトストリームに変換する。デシリアライズはその逆の処理であり、受信したバイトストリームをアプリケーションが処理できる動作オブジェクトに再構成する。

OWASP(Open Web Application Security Project)のドキュメントによると、デシリアライズの脆弱性の本質的な問題は、アプリケーションがデータの検証を十分に行わずにオブジェクトを再構成することにある。これにより、入力を制御できる攻撃者が、正当なアプリケーションデータの代わりに悪意のあるオブジェクトを生成・実行させることが可能になる。

CVE-2026-45659では、攻撃者が特別に細工したシリアライズ済みのペイロードを送信することで、SharePointに攻撃者制御のコードを再構成させ、実行させることができる。このコードは、SharePointのワーカープロセス(w3wp.exe)内で、アプリケーションプールのサービスIDの権限で動作する。Microsoftは、この攻撃を実行するためにターゲットシステムに関する事前の知識は不要であり、脆弱なコンポーネントに対して「ペイロードを繰り返し確実に成功させることができる」と確認している。つまり、攻撃者が一度動作するエクスプロイトコードを入手すれば、アクセス可能で認証が通る未パッチのSharePointサーバーに対して、確実かつ大規模に攻撃を展開できることを意味する。

■影響を受ける製品とバージョン

この脆弱性は、オンプレミス版の3つのSharePoint Server製品ラインに影響する。なお、Microsoft 365のクラウドサービスである「SharePoint Online」は影響を受けない。

影響を受ける製品と、脆弱性が存在するビルド番号は以下の通りである。

・SharePoint Server Subscription Edition:ビルド「16.0.19725.20280」未満
・SharePoint Server 2019:ビルド「16.0.10417.20128」未満
・SharePoint Enterprise Server 2016:ビルド「16.0.5552.1002」未満

現在のファームのビルドを確認するには、SharePoint管理シェルで「Get-SPFarm | Select BuildVersion」を実行する。ビルドが上記のしきい値を下回っている場合、そのサーバーは脆弱な状態にある。マルチサーバーファームを運用している管理者は、すべてのノードを個別に確認する必要がある。一部のウェブフロントエンドだけを更新しても、他のサーバーが脆弱なビルドのままであれば、ファーム全体の安全は確保されない。

■パッチの適用手順と注意点

Microsoftは2026年5月後半に、この修正プログラムを定例外(アウトオブバンド)アップデートとしてリリースした。CVE-2026-45659は、当初の5月の月例セキュリティ更新(Patch Tuesday)のアドバイザリから誤って漏れていたため、セキュリティ速報を基準にパッチの優先順位を決めている組織では、リリース時にこの更新の緊急性を見落としていた可能性がある。しかし、CISAが7月1日に「既知の悪用された脆弱性(KEV)」カタログに登録したことで、過去の優先順位判断に関わらず、パッチの適用と悪用の事実は確定したものとなった。

Microsoft Security Response Center(MSRC)のアドバイザリに記載されている、各製品に対応するサポート技術情報(KB)は以下の通りである。

・SharePoint Server Subscription Edition:KB5002863
・SharePoint Server 2019:KB5002870
・SharePoint Enterprise Server 2016:KB5002868

各アップデートを適用した後、ファーム内のすべてのサーバーで追加の2ステップを実行する必要がある。まず、各サーバーで「SharePoint製品構成ウィザード」を実行する(アプリケーションサーバーを最初に実行し、次に各ウェブフロントエンドを実行する)。このウィザードは自動的には実行されないため、スキップするとファームが不完全に構成された状態のままになってしまう。次に、ウィザード完了後に各ウェブフロントエンドで「iisreset /restart」を実行する。いずれかのノードでIISをパッチ適用前の状態のままにしておくと、バイナリが更新された後でも脆弱なエンドポイントが残ることになる。

■すでに侵害されているかどうかの確認方法

2026年5月のアップデートをまだ適用していない組織は、パッチ適用と侵害状況の調査を、順を追って行うのではなく、同時に並行して進めるべきである。CVE-2026-45659の悪用に成功した攻撃者は、SharePointのワーカープロセス内で任意のコードを実行している。防御担当者は以下の兆候を確認する必要がある。

・プロセスの異常な挙動:SharePointサーバー上で、w3wp.exeが子プロセス(特にcmd.exe、powershell.exe、cscript.exe)を起動していないかを監視する。これは、攻撃成功後の最も信頼性の高いインジケーターである。
・不審なIISログ:すべてのウェブフロントエンドサーバーのログを確認し、「/_layouts/」パスに対する異常なPOSTリクエストがないかを調査する。特に、リクエストボディが異常に大きいものや、通常のSharePointの動作と矛盾するコンテンツタイプに注意する。
・未承認のASPXファイル:Webからアクセス可能なSharePointディレクトリ内に、脆弱性の公開前に存在しなかった「.aspx」ファイルがないかを検索する。デシリアライズ攻撃を通じて設置されるウェブシェルは、通常これらの場所に配置される。
・資格情報およびサービスアカウントの異常:サービスアカウントからの予期しないログイン、地理的な異常、または通常とは異なる時間帯のアクティビティがないか、認証ログを確認する。

■パッチをすぐに適用できない場合の暫定的な回避策

パッチの適用が唯一の完全な解決策である。変更管理やテストプロセスの都合上、すぐにパッチを適用できない組織は、リスクを軽減するために以下の暫定措置を講じる必要がある。

・サイトメンバー権限の制限:サイトメンバー権限を持つユーザーを再確認し、厳格化する。アクティブなアクセスが不要になった契約社員、退職者、またはパートナー企業の組織のアカウントを一時停止する。
・ネットワークのセグメンテーション:可能な限り、SharePointサーバーへのインターネットからの直接アクセスを遮断する。信頼できる内部ネットワークまたは認証されたVPN接続のみにアクセスを制限する。
・Webアプリケーションファイアウォール(WAF)ルール:SharePointのデシリアライズエンドポイントに対する異常なPOSTリクエストを標的としたルールを適用する。
・サービスアカウントの資格情報の変更:侵害が確認されているかどうかにかかわらず、すべてのSharePointアプリケーションプールID、サービスアカウント、および管理アカウントのパスワードをリセットする。
これらはあくまで一時的なしのぎ策であり、パッチ適用の代わりにはならない。

■標的になり続けるSharePointの重要性

CVE-2026-45659の発生は、これまでの明確な傾向に沿ったものである。2026年4月には、ゼロデイとして悪用された別のSharePointの脆弱性にパッチが適用された。また、2026年3月にもCISAが別のSharePointの脆弱性が標的になっていると警告している。さらにResecurityの報告によると、2025年7月には、中国に関連があるとされる国家主導の攻撃グループ「Linen Typhoon」および「Violet Typhoon」、そして金銭目的のランサムウェアグループ「Storm-2603」が、別の深刻なSharePointの脆弱性群(ToolShellチェーン)を悪用し、政府機関や重要インフラ事業者を含む150以上の組織を攻撃した。Microsoftのセキュリティブログでは、このキャンペーンに関する詳細な分析が提供されている。

この傾向は、企業ネットワーク内におけるSharePointの構造的な位置づけを反映している。SharePointサーバーの侵害に成功することは、単なるファイルストレージの漏洩にとどまらず、ネットワーク内への足がかりを得ることを意味する。SharePointコードを実行するアプリケーションプールのサービスIDは、通常、SQL Serverデータベースや、ユーザープロビジョニングのためのActive Directory、さらにはドキュメントライブラリをはるかに超える権限を持つサービスアカウントなど、広範なネットワークアクセス権を持っている。そのため、CVE-2026-45659を通じてSharePointサーバー上でコード実行を達成した攻撃者は、そのサーバーがアクセスできるすべての権限を引き継ぐことになり、それは多くの企業環境においてドキュメントそのものよりもはるかに広範な領域に及ぶ。

■SharePoint Server 2016のサポート終了まであと10日

SharePoint Enterprise Server 2016を運用している組織は、さらに差し迫った期限に直面している。Microsoftは、SharePoint Server 2016の延長サポートが2026年7月14日に終了することを確認している。この日以降、Microsoftは2016製品ライン向けのセキュリティアップデートをリリースしなくなるため、今後発見される脆弱性は、アップグレードされていない環境では永久に未修正のままとなる。

CISAが設定した7月4日の対処期限は、今回のCVE-2026-45659に特化したものであるが、サポート終了の期限は恒久的な条件である。現在もSharePoint Server 2016を実行している組織は、これら両方の要因を同時に考慮し、移行の意思決定を急ぐべきである。

■注目ポイントQ&A

●CVE-2026-45659はSharePoint OnlineやMicrosoft 365に影響しますか?

いいえ、影響しません。この脆弱性はオンプレミス版のSharePoint Server(SharePoint Server Subscription Edition、SharePoint Server 2019、SharePoint Enterprise Server 2016)のみに影響します。Microsoft 365で提供されているクラウドホスト型のSharePoint Onlineは、Microsoft側のインフラで管理およびパッチ適用が行われているため、影響を受けません。

●5月のアップデートを適用していれば保護されていますか?

思い込みを避け、実際に確認を行ってください。管理シェルで「Get-SPFarm | Select BuildVersion」を実行してファームのビルド番号を確認し、脆弱性が修正されたビルド番号と比較してください。CVE-2026-45659は当初の5月のセキュリティ更新プログラムの速報から誤って漏れていましたが、同じ2026年5月のアップデートパッケージで修正されています。修正済みのビルドを実行していれば保護されますが、それはアップデート適用後に、ファーム内のすべてのサーバーで「SharePoint製品構成ウィザード」の実行と「IISのリセット(iisreset /restart)」が完了している場合に限られます。

●Microsoftが「悪用の可能性は低い」としていた脆弱性を、なぜCISAは「実際に悪用されている」と分類したのですか?

Microsoftによる当初の「悪用の可能性は低い」という評価は、5月後半の脆弱性公開時点で求められていた技術的なハードルを反映したものでした。一方、CISAが7月1日に「既知の悪用された脆弱性(KEV)」カタログに追加したことは、実際に野生(インザワイルド)での悪用が確認されたという証拠に基づいています。これら2つの評価は矛盾するものではなく、Microsoftの評価は公開時点の予測であり、CISAのリスト登録は5週間後の現実を反映しています。ベンダーの初期評価とCISAのKEV登録が矛盾する場合、KEVの登録内容が対処の優先順位として優先されます。

●攻撃者がSharePointサーバー上でコードを実行できた場合、どのような被害が発生しますか?

SharePointのワーカープロセス内でコードが実行されると、攻撃者はアプリケーションプールIDが持つものと同じネットワークアクセス権と権限を取得します。多くの環境において、これにはSharePointコンテンツデータベースへの読み書き権限、SharePoint管理サービスへのアクセス権、およびサーバーが到達可能な他のネットワークリソースへのアクセス権が含まれます。過去の同様のSharePoint侵害事例では、Active Directoryへの横展開(ラテラルムーブメント)、ドキュメントライブラリの内容の窃取、持続的なアクセスのためのウェブシェルの設置、そしてランサムウェア攻撃におけるサーバーからアクセス可能なストレージの暗号化などの被害が確認されています。

元記事: SharePoint Server Actively Exploited: CISA Orders Patch Before Ransomware Actors Strike

※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。

関連キーワード

関連記事