Microsoft SharePoint Serverの深刻なリモートコード実行(RCE)脆弱性「CVE-2026-45659」について、米CISA(サイバーセキュリティ・インフラセキュリティ庁)は2026年7月1日、実際の悪用を確認したとして既知悪用脆弱性(KEV)カタログに追加した。米連邦政府機関(FCEB)には2026年7月4日までのパッチ適用が義務付けられており、対象組織は即座の対応を迫られている。

脆弱性の概要:認証済みユーザーでも突破される

CVE-2026-45659はCVSSスコア8.8の高深刻度脆弱性で、信頼できないデータのデシリアライゼーション(逆シリアル化)処理に起因する。対象はSharePoint Server Subscription Edition、SharePoint Server 2019、SharePoint Enterprise Server 2016というオンプレミス版で、クラウドのSharePoint Onlineは影響を受けない。

注目すべきは攻撃条件の低さだ。管理者権限などの高い権限は不要で、「Site Member」レベルの最小限の権限を持つ認証済みユーザーであれば、リモートでコードを実行できてしまう。つまり社内ネットワークにアクセスできる一般社員のアカウントが一つでも侵害されれば、SharePointサーバー全体を掌握される危険がある。

Microsoftは2026年5月の月例パッチでこの脆弱性を修正済みだった。しかしパッチ公開時点では「悪用される可能性は低い(Exploitation Less Likely)」と評価しており、優先度を下げて対応した組織も少なくなかったとみられる。それが今回、実際の悪用が確認されCISAのKEV入りとなったことで、当初の評価が覆った形だ。

実務への影響

日本国内でもオンプレミスのSharePoint Serverは、社内ポータルやドキュメント管理基盤として大企業を中心に根強く使われている。SharePoint Onlineへの移行が進んでいない組織は、まず自社環境が対象バージョンに該当するか、2026年5月のセキュリティ更新プログラムが適用済みかを即座に確認すべきだ。

今回の教訓は2つある。一つは、ベンダーの初期評価(Exploitation Less Likely等)を鵜呑みにせず、月例パッチは原則として速やかに適用する運用を徹底すること。もう一つは、「認証済みかつ最小権限のユーザー」だけで致命的な攻撃が成立する事実が示す通り、社内アカウントであっても無条件に信頼してはならないという点だ。Just-In-Timeアクセスや定期的な権限棚卸しなど、常時アクセス権を極力持たせない運用が、こうした脆弱性の実害を減らす現実的な防御になる。インターネットに直接公開されたオンプレミスSharePointがあれば、WAFや外部からのアクセス制限も合わせて見直したい。

筆者の見解

正直なところ、パッチ公開時点で「悪用される可能性は低い」としていた評価が、2カ月足らずで実際の悪用確認・KEV入りに至ったのは、Microsoftの脆弱性評価プロセスとして改善の余地があると感じる。IT管理者はこの評価を頼りにパッチ適用の優先順位を決めるだけに、評価が外れると現場の判断そのものが揺らいでしまう。オンプレミスSharePointは今も多くの日本企業の情報基盤を支えている製品であり、応援する立場から言えば、ここは慎重側に倒した評価基準にしてほしいところだ。

一方で、今回のCVEが突きつけているのは製品固有の問題だけではない。「認証済みの一般ユーザー権限」だけで重大な侵害が成立するという構造は、ゼロトラストの本質——境界内にいることや認証済みであることを無条件の信頼材料にしない——がなぜ必要かを改めて示している。パッチ適用はもちろん急務だが、それと並行して、平時から標準アカウントに与える権限を最小化し、異常なアクセスを検知できる仕組みを整えておくことが、次の同種インシデントへの本当の備えになる。


出典: この記事は SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation の内容をもとに、筆者の見解を加えて独自に執筆したものです。