メインコンテンツへスキップ
SharePoint Server CVE-2026-45659がCISA KEV入り ─ オンプレ環境でまず確認すること
ニュース 中級

SharePoint Server CVE-2026-45659がCISA KEV入り ─ オンプレ環境でまず確認すること

ニュース 中級

CISA KEVに追加されたSharePoint Server CVE-2026-45659について、影響バージョン、更新判断、公開範囲、ログ保全、初動対応を整理します。

何が起きたか

2026年7月1日、CISAMicrosoft SharePoint Server CVE-2026-45659 を Known Exploited Vulnerabilities(KEV)カタログに追加した。CISA KEV JSONでは、追加日が2026年7月1日、対応期限が2026年7月4日として示されている。

MSRCの公式情報では、CVE-2026-45659は Microsoft Office SharePoint における deserialization of untrusted data の問題で、ネットワーク越しにコード実行につながる可能性があると説明されている。CNA値のCVSS v3.1は8.8 High、MSRCの重要度はImportant、影響はRemote Code Executionだ。

この記事では攻撃手順、PoC、探索方法、悪用コードには触れない。オンプレミスのSharePoint Serverを運用している組織が、まず何を確認し、どの条件ならインシデント対応へ上げるべきかを整理する。

項目公式情報から確認できる内容
CVECVE-2026-45659
製品Microsoft SharePoint Server
影響Remote Code Execution
MSRC重要度Important
CNA CVSS v3.18.8 High
CWECWE-502 Deserialization of Untrusted Data
CISA KEV追加日2026-07-01
CISA KEV期限2026-07-04

影響を受ける可能性がある組織・担当者

確認対象は、SharePoint Serverをオンプレミス、IaaS、閉域ネットワーク、委託運用、旧ポータル、文書管理基盤として運用している組織だ。Microsoft 365のSharePoint Onlineだけを使っているつもりでも、過去の移行元、部門管理の旧サーバー、検証環境、委託先管理のサーバーが残っていないかを確認する必要がある。

読者まず見ること
情シス・インフラ担当SharePoint Serverの有無、エディション、ビルド、更新窓、保守担当
Microsoft 365 / AD担当オンプレSharePoint、AD連携、SSO、サービスアカウント、管理者権限
Web・ポータル管理者公開範囲、IIS設定、リバースプロキシ、WAF、バックアップ
CSIRT・SOCCISA KEV期限、IIS/ULSログ、管理者操作、不審なファイル変更、残リスク
経営・部門責任者未更新理由、業務停止影響、文書管理・ポータル停止時の代替手段

特にSharePoint Serverは、社内ポータル、文書、ワークフロー、部門サイト、検索、ファイル連携の中心になっていることがある。更新作業だけでなく、停止影響、証跡保全、利用者周知を同時に扱う必要がある。


なぜ重要か

CVE-2026-45659はCISA KEVに追加されたため、少なくともCISAは既知の悪用が確認された脆弱性として扱っている。CVSSの点数だけでなく、「悪用確認済み」「オンプレSharePoint」「業務ポータル」「文書管理」「認証連携」という条件を重ねて判断することが重要だ。

MSRCとCVEレコードから確認できる影響バージョン境界は次の通りだ。最終判断は必ずMSRCの最新情報と自社サーバー上のビルド番号を照合する。

製品影響バージョン境界
SharePoint Enterprise Server 201616.0.5552.1002未満
SharePoint Server 201916.0.10417.20128未満
SharePoint Server Subscription Edition16.0.19725.20280未満

「SharePointを使っているか」だけでは不十分だ。オンプレサーバーのビルド、公開範囲、認証、管理者権限、IIS/ULSログ、保守委託先、バックアップ、更新後の機能影響まで確認する必要がある。


まず確認すべきこと

初動では、外部からの探索や攻撃再現ではなく、公式情報と自社台帳の突き合わせから始める。

  • MSRC、CISA KEV、NVD、CVEレコードでCVE番号、対象製品、影響バージョン、更新情報、KEV期限を確認する。
  • SharePoint Server 2016、2019、Subscription Editionの本番、検証、DR、旧環境、委託先管理環境を棚卸しする。
  • 各サーバーのビルド番号、ファーム構成、Webフロントエンド、アプリケーションサーバー、データベース依存関係を記録する。
  • 公開範囲を確認する。インターネット、VPN、社内全体、委託先ネットワーク、リバースプロキシ、WAF、踏み台を分ける。
  • 更新前にIISログ、ULSログ、Windowsイベントログ、SharePoint管理者操作、設定バックアップを保全する。
  • 更新後にポータル表示、検索、ワークフロー、認証、ファイル連携、権限継承、バックアップを確認する。

この確認は、対応する SharePoint Server KEV初動確認チェックリスト にそのまま落とし込める。


推奨される初動対応

やること

  • 対象サーバーを「更新済み」「未更新」「未確認」「対象外」に分け、根拠を残す。
  • KEV期限を過ぎる可能性がある場合は、通常の月次更新ではなく例外リスクとして扱う。
  • 管理画面、管理者権限、サービスアカウント、リモート保守経路を棚卸しする。
  • インターネットまたは広いネットワークから到達可能な経路を一時的に制限する。
  • 更新前後のIIS/ULSログ、Windowsイベントログ、設定差分、バックアップ確認を記録する。
  • 不審なファイル変更、管理者追加、Web.configやアプリケーション設定変更、ログ欠損がないか確認する。

やらないこと

  • PoCや検証用リクエストを本番SharePointへ送信しない。
  • 不審点がある状態で、証跡保全前にログ削除、ファイル削除、初期化、上書き復旧をしない。
  • 「SharePoint Onlineを使っているから対象外」と即断せず、オンプレ残存環境を確認する。
  • 委託先に更新依頼だけを送り、ビルド番号、作業記録、ログ確認結果を回収しない。

記録すべきこと

  • 参照した公式情報、確認日時、確認者、対象CVE。
  • サーバー名、役割、エディション、ビルド番号、公開範囲、管理者。
  • 更新前後のログ保全、設定差分、バックアップ、機能確認。
  • 未更新・未確認の理由、代替制御、残リスク、次回確認日。

判断基準とエスカレーション条件

次のいずれかに該当する場合は、通常の更新作業ではなくCSIRTまたはインシデント対応として扱う。

  • CISA KEV期限を過ぎても対象バージョンのSharePoint Serverが残っている。
  • SharePoint Serverがインターネット、VPN、広い社内ネットワーク、委託先経路から到達可能だった。
  • 不審なIISアクセス、ULSログの異常、管理者追加、サービスアカウント操作、設定変更、ログ欠損がある。
  • 部門ポータル、文書管理、経営情報、顧客情報、申請ワークフローなど重要データを扱っている。
  • 更新で業務影響が出るため、停止判断や代替手段を経営・部門責任者に上げる必要がある。
  • 所有者、保守契約、更新権限、バックアップ責任者がすぐに特定できない。

CVSSの点数だけでなく、KEV追加、公開範囲、サーバーの役割、保持データ、ログ上の不審点を組み合わせて判断する。優先度判断の型は CVE初動対応チェックリストKEVとEPSSの違い も参考になる。


よくある誤解

「Microsoft 365を使っているから関係ない」 今回の公式情報はSharePoint Serverを対象としている。SharePoint Onlineだけなら別扱いだが、移行元、旧ポータル、検証環境、部門管理サーバーが残っていないかは確認が必要だ。

「認証が必要なら低優先度でよい」 MSRCのCVSSベクトルではPrivileges RequiredがLowだが、CISA KEVに追加されている。認証要否だけで後回しにせず、悪用確認済み、公開範囲、保持データを合わせて判断する。

「パッチを当てれば調査は不要」 更新は必須だが、更新前に何が起きていたかを説明できなければ、後日の監査やインシデント判断が難しくなる。IIS/ULSログ、管理者操作、設定変更、バックアップ確認を残す。


関連するCyberLens内部リンク


公式情報・参考情報

関連テーマを体系的に学ぶ 脆弱性管理(CVE・KEV)対応ガイド
ESC