米CISA(サイバーセキュリティ・インフラセキュリティ庁)が2026年7月14日、オンプレミス版のMicrosoft SharePoint Serverに存在する複数の脆弱性が実際に悪用されているとして、緊急のセキュリティ対策(ハードニング)を呼びかけました。すでに攻撃者がリモートコード実行や認証キーの窃取に成功しており、パッチ適用だけでは足りないケースもあります。自社でオンプレのSharePoint Serverを運用しているなら、まず「本当にパッチが当たっているか」「外部に露出していないか」を今すぐ確認すべき状況です。
この記事でわかること:
- 今回悪用が確認されている4つのCVEと、その深刻度・公表状況
- 攻撃者が何をしているのか(RCE→マシンキー窃取→永続化)
- 情シスが今すぐ確認・実施すべきこと(パッチだけで終わらせない理由)
何が起きたのか
CISAは、オンプレミス版SharePoint Serverの脆弱性が悪用され、攻撃者が不正アクセスに成功していると警告しました。対象はMicrosoft 365(クラウド版のSharePoint Online)ではなく、企業が自社サーバーで運用するオンプレミス版です。クラウド版を使っている場合は今回の対象外ですが、オンプレ版を1台でも動かしているなら影響を精査する必要があります。
今回、悪用が確認されている(=CISAのKEV:悪用が確認された脆弱性カタログに登録された)主なCVEは次のとおりです。
| CVE番号 | 内容 | CVSS | KEV登録日 |
|---|---|---|---|
| CVE-2026-58644 | 信頼できないデータのデシリアライゼーション(RCE)。ゼロデイとして悪用 | 9.8(緊急) | 2026-07-16 |
| CVE-2026-56164 | SharePoint Serverの悪用(不正アクセス) | — | 2026-07-14 |
| CVE-2026-45659 | SharePoint Serverの悪用(不正アクセス) | — | 2026-07-01 |
| CVE-2026-32201 | SharePoint Serverの悪用(不正アクセス) | — | 2026-04-14 |
とくにCVE-2026-58644はCVSS 9.8の「緊急」で、修正が提供される前に攻撃に使われたゼロデイです。デシリアライゼーション(外部から受け取ったデータをプログラムのオブジェクトに復元する処理)の不備を突かれ、遠隔から任意のコードを実行される恐れがあります。米国の連邦政府機関に対しては、2026年7月19日までのパッチ適用が義務づけられました。行政の期限は民間には直接適用されませんが、それだけ緊急度が高いという目安になります。
2026年4月のSharePointゼロデイからの流れ
SharePoint Serverのオンプレ版が狙われるのは今回が初めてではありません。CVE-2026-32201は2026年4月の時点でKEVに登録されており、当時のMicrosoft月例パッチでも修正されています(関連:2026年4月Microsoftパッチ:SharePointゼロデイほか163件修正)。つまり、数か月前から続くSharePoint狙いの攻撃が、より深刻なゼロデイを伴って拡大しているという文脈で捉えるべきです。
攻撃者は何をしているのか
CISAによれば、攻撃者は脆弱性を突いてリモートコード実行(RCE)に成功したうえで、次のような後続の活動を行っています。
- IIS(Webサーバー)のマシンキーの窃取:SharePointが内部で使う暗号鍵を盗み出す。
- デシリアライゼーションを悪用した永続化:盗んだマシンキーを使い、正規のリクエストに見せかけて再侵入できる状態を作る。
- マルウェアの展開:足場を固めたうえで不正なプログラムを設置する。
ここが今回の厄介な点です。マシンキーを盗まれてしまうと、後からパッチを当てただけでは攻撃者を締め出せません。盗まれた鍵は有効なままなので、パッチ後も正規の署名付きリクエストとして侵入を許してしまう可能性があるからです。「パッチを当てたから大丈夫」と考えるのが一番危険なパターンといえます。
情シスはどうすべきか
CISAとMicrosoftが示す対応は、単なるパッチ適用にとどまりません。要点を整理します。
まず確認すること
- 最新パッチが「正常に」適用されているか:適用したつもりで反映されていない、というのは現場で本当によくあります。導入結果まで確認する。
- AMSI(マルウェア対策スキャンインターフェース)の統合が有効か:SharePoint側でAMSI連携を有効にしておくと、悪用の一部を検知・ブロックできます。
- SharePoint Serverが外部(インターネット)に直接露出していないか:管理画面や不要なエンドポイントが公開されていないか点検する。
すでに侵害された前提で確認すること
KEV登録済み=現に悪用されている以上、「もう入られているかもしれない」という前提での確認が要ります。CISAは、マシンキーをローテーション(再発行)する前に、マシンキーを盗み出すツールなどの侵入痕跡(アーティファクト)をスキャンして除去するよう促しています。順序が重要で、痕跡を残したまま鍵だけ入れ替えても、攻撃者に新しい鍵を再取得される恐れがあるためです。あわせて、管理画面への外部アクセスをレイヤー7のリバースプロキシで遮断し、ログ監視を強化することも推奨されています。
対策の全体像は公的指針で押さえる
個別製品の対応と並行して、脆弱性管理・インシデント対応の型を組織として持っておくことが結局は効きます。IPAの中小企業の情報セキュリティ対策ガイドラインや、セキュリティインシデント対応 机上演習教材は、いざという時の判断手順を平時に固めておくのに役立ちます。「入られたらどう動くか」を一度でも机上で通しておくと、実際のインシデントで初動が段違いになります。
現場目線の課題
正直なところ、オンプレSharePointは「社内システムだから安全」という思い込みが残りやすい領域です。実際には、部門が独自に立てたサーバーや、社外からのアクセス用に穴を開けた設定が、情シスの把握しきれないところで生き残っていることがあります。今回のように「外部露出していないか」を問われて、即答できる組織は意外と少ないのではないでしょうか。
さらに、マシンキー窃取が絡むと「パッチ適用済み」というステータスが安心材料にならず、痕跡調査という手間のかかる作業が乗ってきます。限られた人員で本業をこなしながら、どこまで踏み込んで調査するか——この線引きの難しさは、脆弱性が公開されるたびに情シスが直面する現実です。だからこそ、資産の棚卸しと「そもそも外に出さない」構成が、地道ですが最も効きます。
まとめ
- オンプレ版SharePoint Serverの複数脆弱性が実際に悪用され、CISAが緊急対策を要請。CVE-2026-58644はCVSS9.8のゼロデイ。クラウド版(SharePoint Online)は対象外。
- 攻撃はRCE→マシンキー窃取→永続化と進む。パッチだけでは締め出せないため、侵入痕跡の調査と、痕跡除去後のマシンキーのローテーションが必要。
- まずはパッチの正常適用・AMSI有効化・外部露出の点検を。平時からインシデント対応の型(IPA教材等)を用意しておくことが初動を左右する。
脆弱性の深刻度の読み方や、悪用が確認された脆弱性の意味については、CVSSとは?脆弱性の深刻度を評価する仕組みと使い方、CVEとは?共通脆弱性識別子の仕組みと実務での使い方もあわせてご覧ください。パッチ提供前に悪用が始まるゼロデイへの向き合い方は、ゼロデイの無断公開、パッチ待ちの空白に情シスは何をすべきかで解説しています。
出典
- CISA「CISA Urges SharePoint Hardening After New Exploitations」(2026年7月14日)
https://www.cisa.gov/news-events/alerts/2026/07/14/cisa-urges-sharepoint-hardening-after-new-exploitations - CISA「Known Exploited Vulnerabilities Catalog」
https://www.cisa.gov/known-exploited-vulnerabilities-catalog - Security NEXT「『SharePoint Server』の複数脆弱性悪用で対策呼びかけ – 米当局」
https://www.security-next.com/187553
