CISA KEVに追加されたSharePoint ServerのCVE-2026-58644とCVE-2026-56164について、影響バージョン、更新確認、IIS・ULSログ保全、公開範囲、エスカレーション条件を公式情報に基づき整理します。情シスが初動で使えるチェックリスト付きです。
この記事の目次 9項目から選ぶ
何が起きたか
2026年7月14日、CISAは Microsoft SharePoint Server CVE-2026-56164 を Known Exploited Vulnerabilities(KEV)へ追加した。続いて7月16日、CVE-2026-58644 もKEVへ追加された。CISAの対応期限は前者が7月17日、後者が7月19日とされている。
現時点で公開情報から確認できる範囲では、CVE-2026-56164は重要な機能で認証が不足する問題で、権限昇格につながる可能性がある。CVE-2026-58644は信頼できないデータのデシリアライゼーションに関する問題で、ネットワーク経由のコード実行につながる可能性がある。
まず行うべきことは、攻撃を再現することではない。オンプレミスSharePoint Serverの有無、エディション、ビルド番号、公開範囲、更新状況を確定し、IIS・ULS・Windowsイベントログを保全することだ。
| 項目 | CVE-2026-56164 | CVE-2026-58644 |
|---|---|---|
| 公式説明上の影響 | ネットワーク経由の権限昇格 | ネットワーク経由のコード実行 |
| CWE | CWE-306 | CWE-502 |
| Microsoft CNA CVSS v3.1 | 5.3 Medium | 9.8 Critical |
| CISA KEV追加日 | 2026-07-14 | 2026-07-16 |
| CISA KEV期限 | 2026-07-17 | 2026-07-19 |
CISAの期限は米国連邦政府機関向けの要求であり、すべての組織に同じ法的期限が適用されるわけではない。ただし、既知悪用を踏まえた優先度判断の強いシグナルとして利用できる。
影響を受ける可能性がある組織・担当者
確認対象は、オンプレミスまたはIaaS上でSharePoint Serverを運用する組織だ。Microsoft CNAの対象情報には、SharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Editionが含まれる。
| 読者 | まず確認すること |
|---|---|
| 情シス・インフラ担当 | 本番、検証、DR、旧環境のサーバー、エディション、ビルド、更新責任者 |
| Microsoft基盤担当 | ファーム構成、IIS、サービスアカウント、AD・Entra ID連携、管理者権限 |
| Web・ポータル管理者 | インターネット、VPN、社内、委託先からの到達範囲と業務停止影響 |
| SOC・CSIRT | IIS・ULS・Windowsイベントログ、EDR、WAF、管理者操作、設定変更 |
| 部門責任者 | 文書、申請、検索、ワークフロー停止時の代替手段と連絡先 |
SharePoint Onlineだけを利用している場合、今回のCNA対象製品とは分けて考える。ただし、移行前の旧サーバー、部門が残した検証環境、委託先管理環境がないことを台帳で確認してから対象外と判断する。
なぜ重要か
2件は影響の種類とCVSSが異なるが、どちらもCISA KEVへ追加されている。CVSSだけを見てCVE-2026-56164を後回しにせず、悪用確認、公開範囲、保持データ、管理権限、停止影響を合わせて優先度を決める必要がある。
Microsoft CNAが示す影響バージョン境界は次のとおりだ。実務では単純な文字列比較だけで完了にせず、MSRCの各ページに表示される該当製品のセキュリティ更新と、自社サーバーのビルドを照合する。
| 製品 | CVE-2026-56164の影響境界 | CVE-2026-58644の影響境界 |
|---|---|---|
| SharePoint Enterprise Server 2016 | 16.0.5561.1001未満 | 16.0.5556.1005未満 |
| SharePoint Server 2019 | 16.0.10417.20175未満 | 16.0.10417.20153未満 |
| SharePoint Server Subscription Edition | 16.0.19725.20434未満 | 16.0.19725.20384未満 |
更新プログラムの前提条件、累積更新、ファーム内の適用順序は環境によって異なる。上表だけで更新パッケージを選ばず、MSRC、Microsoftの更新手順、保守契約、検証結果に従う。
まず確認すべきこと
- SharePoint Server 2016、2019、Subscription Editionを本番、検証、DR、旧環境まで棚卸しする。
- サーバーごとにエディション、ビルド、役割、ファーム、所有者、保守担当、更新状態を記録する。
- CVE-2026-56164とCVE-2026-58644を別々にMSRCで開き、該当するセキュリティ更新を確認する。
- インターネット、VPN、社内全体、部門ネットワーク、委託先、踏み台からの到達範囲を確認する。
- IISログ、ULSログ、Windowsイベントログ、EDR、WAF・リバースプロキシのログを同じ時間軸で保全する。
- ファーム管理者、サイトコレクション管理者、サービスアカウント、保守用アカウントを確認する。
- Web.config、アプリケーション設定、ソリューション、タイマージョブ、管理者追加の変更履歴を確認する。
- 更新後にポータル、検索、ワークフロー、認証、権限、バックアップ、監視を確認する担当を決める。
現場では SharePoint Server KEV初動確認チェックリスト を開き、対象、公開範囲、更新、ログ、報告の順に記録すると確認漏れを減らせる。
推奨される初動対応
やること
- 対象を「更新済み」「未更新」「未確認」「対象外」に分け、判断根拠と確認時刻を残す。
- 未更新・未確認のサーバーは、業務影響を確認したうえで到達範囲を一時的に狭める。
- 更新前にログ、構成、管理者一覧、バックアップ、ロールバック条件を保全する。
- MSRCの各CVEページと組織の変更管理手順に従って更新し、ファーム全体の状態を確認する。
- 不審点があれば証跡保全を優先し、CSIRT、法務、個人情報保護、事業責任者へ必要な範囲で共有する。
やらないこと
- 本番や第三者環境でPoC、探索、脆弱性悪用の再現を行わない。
- 不審なファイルやログを、保全前に削除、隔離、初期化、上書きしない。
- 1台のビルドだけを見て、ファーム全体やDR環境を更新済みと判断しない。
- SharePoint Onlineを使っているという理由だけで、オンプレ残存環境を確認せず対象外にしない。
- 委託先へ更新を依頼するだけで、ビルド、作業記録、ログ確認、残リスクを回収しない。
記録すべきこと
- CVE番号、参照したMSRC・CISA・NVD、確認日時、確認者。
- サーバー名、エディション、役割、ビルド、公開範囲、管理者、保守担当。
- 更新前後のログ保全、設定差分、バックアップ、機能確認、監視結果。
- 不審点、未確認事項、暫定制御、残リスク、次回確認日、報告先。
判断基準とエスカレーション条件
次のいずれかに該当する場合は、通常のパッチ作業だけで終えず、インシデント対応へ上げる。
- KEV対象のビルドが残る、またはビルドと更新状態を確定できない。
- インターネット、VPN、広い社内ネットワーク、委託先経路から到達可能だった。
- 不審なIISアクセス、管理者追加、サービスアカウント利用、設定変更、ログ欠損がある。
- 重要文書、個人情報、顧客情報、経営情報、申請ワークフローを扱っている。
- ファーム内で更新状態がそろわない、更新失敗、バックアップ不備、復旧不能の懸念がある。
- 所有者、保守契約、停止判断者、報告先をすぐに特定できない。
優先度は CVE と CVSS だけでなく、KEV、公開範囲、資産の役割、ログ上の不審点で決める。CVEとCVSSの違い も判断軸の整理に使える。
よくある誤解
「CVSS 5.3なら月次更新でよい」
CVE-2026-56164はMicrosoft CNA値がMediumでもCISA KEVに入っている。点数だけでなく、悪用確認、到達範囲、権限、資産の重要度を合わせて判断する。
「新しい方のCVEだけ見ればよい」
2件は影響とビルド境界が異なる。MSRCで両方を確認し、自社のエディションとビルドに必要な更新が適用済みかを記録する。
「更新が成功すれば調査は終わり」
更新前の不審アクセスや設定変更は、パッチ適用だけでは説明できない。IIS・ULS・Windowsイベントログ、管理者操作、EDRやWAFの記録を確認する。
関連するCyberLens内部リンク
- SharePoint Server KEV初動確認チェックリスト:2件の対象ビルド、公開範囲、更新、ログ、報告を記録する。
- CVE初動対応チェックリスト:CVEを受け取った直後の対象判定と優先度判断。
- インターネット公開管理画面の緊急点検:外部公開、管理経路、認証、ログを横断確認する。
- 管理画面認証回避・境界機器脆弱性 初動対応:侵害疑いがある場合の封じ込め、調査、復旧、報告。
- 脆弱性管理の基礎:資産台帳とパッチ管理の基礎を学ぶ。
- Patch Managementとは:更新を継続運用にする考え方。
- 前回のSharePoint Server CVE-2026-45659解説:同じ基盤で過去に確認した観点を振り返る。
- セキュリティニュース一覧:最新の脆弱性対応情報を確認する。