CISA KEVに追加されたSharePoint Server CVE-2026-45659について、影響バージョン、更新判断、公開範囲、ログ保全、初動対応を整理します。
何が起きたか
2026年7月1日、CISA は Microsoft SharePoint Server CVE-2026-45659 を Known Exploited Vulnerabilities(KEV)カタログに追加した。CISA KEV JSONでは、追加日が2026年7月1日、対応期限が2026年7月4日として示されている。
MSRCの公式情報では、CVE-2026-45659は Microsoft Office SharePoint における deserialization of untrusted data の問題で、ネットワーク越しにコード実行につながる可能性があると説明されている。CNA値のCVSS v3.1は8.8 High、MSRCの重要度はImportant、影響はRemote Code Executionだ。
この記事では攻撃手順、PoC、探索方法、悪用コードには触れない。オンプレミスのSharePoint Serverを運用している組織が、まず何を確認し、どの条件ならインシデント対応へ上げるべきかを整理する。
| 項目 | 公式情報から確認できる内容 |
|---|---|
| CVE | CVE-2026-45659 |
| 製品 | Microsoft SharePoint Server |
| 影響 | Remote Code Execution |
| MSRC重要度 | Important |
| CNA CVSS v3.1 | 8.8 High |
| CWE | CWE-502 Deserialization of Untrusted Data |
| CISA KEV追加日 | 2026-07-01 |
| CISA KEV期限 | 2026-07-04 |
影響を受ける可能性がある組織・担当者
確認対象は、SharePoint Serverをオンプレミス、IaaS、閉域ネットワーク、委託運用、旧ポータル、文書管理基盤として運用している組織だ。Microsoft 365のSharePoint Onlineだけを使っているつもりでも、過去の移行元、部門管理の旧サーバー、検証環境、委託先管理のサーバーが残っていないかを確認する必要がある。
| 読者 | まず見ること |
|---|---|
| 情シス・インフラ担当 | SharePoint Serverの有無、エディション、ビルド、更新窓、保守担当 |
| Microsoft 365 / AD担当 | オンプレSharePoint、AD連携、SSO、サービスアカウント、管理者権限 |
| Web・ポータル管理者 | 公開範囲、IIS設定、リバースプロキシ、WAF、バックアップ |
| CSIRT・SOC | CISA KEV期限、IIS/ULSログ、管理者操作、不審なファイル変更、残リスク |
| 経営・部門責任者 | 未更新理由、業務停止影響、文書管理・ポータル停止時の代替手段 |
特にSharePoint Serverは、社内ポータル、文書、ワークフロー、部門サイト、検索、ファイル連携の中心になっていることがある。更新作業だけでなく、停止影響、証跡保全、利用者周知を同時に扱う必要がある。
なぜ重要か
CVE-2026-45659はCISA KEVに追加されたため、少なくともCISAは既知の悪用が確認された脆弱性として扱っている。CVSSの点数だけでなく、「悪用確認済み」「オンプレSharePoint」「業務ポータル」「文書管理」「認証連携」という条件を重ねて判断することが重要だ。
MSRCとCVEレコードから確認できる影響バージョン境界は次の通りだ。最終判断は必ずMSRCの最新情報と自社サーバー上のビルド番号を照合する。
| 製品 | 影響バージョン境界 |
|---|---|
| SharePoint Enterprise Server 2016 | 16.0.5552.1002未満 |
| SharePoint Server 2019 | 16.0.10417.20128未満 |
| SharePoint Server Subscription Edition | 16.0.19725.20280未満 |
「SharePointを使っているか」だけでは不十分だ。オンプレサーバーのビルド、公開範囲、認証、管理者権限、IIS/ULSログ、保守委託先、バックアップ、更新後の機能影響まで確認する必要がある。
まず確認すべきこと
初動では、外部からの探索や攻撃再現ではなく、公式情報と自社台帳の突き合わせから始める。
- MSRC、CISA KEV、NVD、CVEレコードでCVE番号、対象製品、影響バージョン、更新情報、KEV期限を確認する。
- SharePoint Server 2016、2019、Subscription Editionの本番、検証、DR、旧環境、委託先管理環境を棚卸しする。
- 各サーバーのビルド番号、ファーム構成、Webフロントエンド、アプリケーションサーバー、データベース依存関係を記録する。
- 公開範囲を確認する。インターネット、VPN、社内全体、委託先ネットワーク、リバースプロキシ、WAF、踏み台を分ける。
- 更新前にIISログ、ULSログ、Windowsイベントログ、SharePoint管理者操作、設定バックアップを保全する。
- 更新後にポータル表示、検索、ワークフロー、認証、ファイル連携、権限継承、バックアップを確認する。
この確認は、対応する SharePoint Server KEV初動確認チェックリスト にそのまま落とし込める。
推奨される初動対応
やること
- 対象サーバーを「更新済み」「未更新」「未確認」「対象外」に分け、根拠を残す。
- KEV期限を過ぎる可能性がある場合は、通常の月次更新ではなく例外リスクとして扱う。
- 管理画面、管理者権限、サービスアカウント、リモート保守経路を棚卸しする。
- インターネットまたは広いネットワークから到達可能な経路を一時的に制限する。
- 更新前後のIIS/ULSログ、Windowsイベントログ、設定差分、バックアップ確認を記録する。
- 不審なファイル変更、管理者追加、Web.configやアプリケーション設定変更、ログ欠損がないか確認する。
やらないこと
- PoCや検証用リクエストを本番SharePointへ送信しない。
- 不審点がある状態で、証跡保全前にログ削除、ファイル削除、初期化、上書き復旧をしない。
- 「SharePoint Onlineを使っているから対象外」と即断せず、オンプレ残存環境を確認する。
- 委託先に更新依頼だけを送り、ビルド番号、作業記録、ログ確認結果を回収しない。
記録すべきこと
- 参照した公式情報、確認日時、確認者、対象CVE。
- サーバー名、役割、エディション、ビルド番号、公開範囲、管理者。
- 更新前後のログ保全、設定差分、バックアップ、機能確認。
- 未更新・未確認の理由、代替制御、残リスク、次回確認日。
判断基準とエスカレーション条件
次のいずれかに該当する場合は、通常の更新作業ではなくCSIRTまたはインシデント対応として扱う。
- CISA KEV期限を過ぎても対象バージョンのSharePoint Serverが残っている。
- SharePoint Serverがインターネット、VPN、広い社内ネットワーク、委託先経路から到達可能だった。
- 不審なIISアクセス、ULSログの異常、管理者追加、サービスアカウント操作、設定変更、ログ欠損がある。
- 部門ポータル、文書管理、経営情報、顧客情報、申請ワークフローなど重要データを扱っている。
- 更新で業務影響が出るため、停止判断や代替手段を経営・部門責任者に上げる必要がある。
- 所有者、保守契約、更新権限、バックアップ責任者がすぐに特定できない。
CVSSの点数だけでなく、KEV追加、公開範囲、サーバーの役割、保持データ、ログ上の不審点を組み合わせて判断する。優先度判断の型は CVE初動対応チェックリスト と KEVとEPSSの違い も参考になる。
よくある誤解
「Microsoft 365を使っているから関係ない」 今回の公式情報はSharePoint Serverを対象としている。SharePoint Onlineだけなら別扱いだが、移行元、旧ポータル、検証環境、部門管理サーバーが残っていないかは確認が必要だ。
「認証が必要なら低優先度でよい」 MSRCのCVSSベクトルではPrivileges RequiredがLowだが、CISA KEVに追加されている。認証要否だけで後回しにせず、悪用確認済み、公開範囲、保持データを合わせて判断する。
「パッチを当てれば調査は不要」 更新は必須だが、更新前に何が起きていたかを説明できなければ、後日の監査やインシデント判断が難しくなる。IIS/ULSログ、管理者操作、設定変更、バックアップ確認を残す。
関連するCyberLens内部リンク
- SharePoint Server KEV初動確認チェックリスト:このニュースに対応する実務チェックリスト。
- CVE初動対応チェックリスト:CVE番号を受け取った直後の対象確認。
- インターネット公開管理画面の緊急点検:公開範囲と管理面を確認する。
- 管理画面認証回避・境界機器脆弱性 初動対応:侵害疑いがある場合の封じ込めと調査。
- 脆弱性管理の基礎:CVE対応を運用に組み込む考え方。
- Patch Managementとは:更新管理の基本概念。
- CVEとCVSSの違い:番号と深刻度を混同しないための比較。
- セキュリティニュース一覧:関連ニュースを確認する。