修正パッチが出ているのに、なぜ1,300台が放置されているのか

2026年4月のPatch Tuesdayで修正されたSharePointの脆弱性(CVE-2026-32201)が、パッチ公開から1週間が経過した現在も、インターネットに公開された1,300台以上のサーバーで未対応のままであることがShadowserverの調査で明らかになった。

パッチ適用済みに転じたサーバーはわずか200台未満。同じタイミングでCISA(米国サイバーセキュリティ・インフラセキュリティ庁)はこの脆弱性をKEV(既知悪用脆弱性カタログ)に登録し、米連邦政府機関には4月28日までの対応を義務付けた。

CVE-2026-32201の技術的な中身

対象バージョンは以下の3製品だ。

  • SharePoint Enterprise Server 2016
  • SharePoint Server 2019
  • SharePoint Server Subscription Edition(最新のオンプレミス版、継続的アップデートモデル)

問題の核心は「不適切な入力検証(Improper Input Validation)」にある。これを悪用することで、特権を持たない攻撃者でもネットワーク越しになりすましを実行できる。攻撃の複雑さは「低」と評価されており、ユーザーの操作も不要だ。

CIAへの影響度から言うと、機密性(情報の漏洩)と完全性(情報の改ざん)に影響するが、可用性(サービス停止)への影響はない。「サービスが落ちないから大丈夫」ではなく、むしろ気づかぬうちに情報を読まれ・書き換えられるという、静かに深刻なタイプの脆弱性だ。

Microsoftはゼロデイとして認定しているが、具体的な悪用手法や背後の脅威アクターの特定については現時点で情報を開示していない。

実務への影響——日本のエンジニア・IT管理者へ

1. オンプレミスSharePointを使っているなら即確認

SharePoint Onlineはクラウド側でMicrosoftが管理するため、今回の影響を直接受けない。問題はオンプレミス環境だ。 日本の大企業・官公庁では依然としてSharePoint Serverをオンプレミス運用しているケースが多い。まず自社のバージョンと最新のCUが適用済みかを確認することが最初の一手だ。

適用確認の方法は、SharePoint管理者向けに用意されている「SharePoint Server 2019 / SE のビルド番号確認方法」を参照するのが確実だ。

2. 「パッチ当てたら壊れる」恐怖との向き合い方

「すぐ当てたら壊れた」という事例は確かに増えている。ただ今回のケースはCISAのKEVに登録され、実際に悪用が続いている脆弱性だ。「数日様子を見る」戦略が通用する状況ではない。テスト環境で検証の上、本番適用を急ぐ判断が求められる。

3. インターネット公開しているSharePointは今すぐ棚卸しを

「なぜ1,300台が外部公開されているのか」という根本的な問いもある。SharePoint Serverをインターネット直接公開している構成は、そもそも攻撃面が広すぎる。WAF(Webアプリケーションファイアウォール)やリバースプロキシ、Entra IDを介したアクセス制御(旧Azure ADアプリケーションプロキシなど)で保護する構成に移行できていない組織は、今回の件を機に全体設計を見直してほしい。

4. パッチ管理の優先度付けをルール化する

CISAのKEV登録 → 政府機関は2週間以内対応、というのは1つの参考指標になる。民間企業でも「KEV登録かつCVSSスコアが一定以上の脆弱性は〇営業日以内に対応」というルールを社内で持っていると、今回のような判断を毎回ゼロから行わなくて済む。

筆者の見解

ゼロトラストの文脈で言えば、オンプレミスSharePointをインターネットに直接さらす構成は設計思想としてそもそも危うい。「ネットワーク境界を守れば中は安全」という発想の残滓だ。インターネット公開が必要なSharePointアクセスは、認証・認可をIDプロバイダーに集約し、条件付きアクセスポリシーを通す構成が正解だ。それができているなら、今回のような脆弱性の露出面は大幅に下がる。

そして、SharePoint Serverをオンプレミスで運用し続けること自体のコストを再評価すべき時期に来ている。パッチ管理・構成管理・バージョン追従……これらすべてを自前で担い続けるリソースが本当にあるのか。SharePoint Online(Microsoft 365)への移行は「使い勝手が変わる」という反発を受けることも多いが、セキュリティ運用の負担という観点では明確に有利だ。

MicrosoftにはSharePoint Serverのパッチ提供を続けてほしいし、実際にきちんと修正パッチを出してくれている。あとは使う側が「出たパッチを当てる」という最低限の義務を果たすだけだ。1,300台が放置されているという数字は、技術的な問題というよりも、組織的な意思決定と運用プロセスの問題だと思う。

セキュリティの話は「細かい」と敬遠されがちだが、今回のように実際に悪用が進んでいるものは細かい話ではない。動いているから大丈夫、は通用しない。今日確認できる人は、今日確認してほしい。

出典: この記事は Over 1,300 Microsoft SharePoint servers vulnerable to spoofing attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。