
SharePoint Server の RCE 脆弱性 CVE-2026-45659 - CISA KEV 入りした認証済みユーザーによるデシリアライズ攻撃と対策
オンプレミス版の Microsoft SharePoint Server は、社内ポータルや文書管理の基盤として今も多くの企業・官公庁で稼働しています。その SharePoint Server に、認証済みユーザーであれば一般権限だけでリモートコード実行(RCE)を狙える脆弱性 CVE-2026-45659 が見つかりました。2026年7月2日、米 CISA がこの脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加し、連邦民間機関に対してわずか数日での是正を命じています。
当ブログではこれまで、デシリアライズ由来の実攻撃事例やReact の RCE 脆弱性 CVE-2025-55182を追ってきました。CVE-2026-45659 もまた「信頼できないデータのデシリアライズ」という古典的かつ強力なクラスの脆弱性です。本記事では、確認できた一次〜準一次情報だけをもとに、何が起きているのか、そして情シス・Webエンジニアが今すぐ何をすべきかを整理します。
NOTE
本記事の CVSS・日付・影響製品などの数値は、2026年7月時点で CISA KEV 関連報道(The Hacker News、SecurityWeek、The Register、BleepingComputer)で確認した内容です。パッチのKB番号や個別の悪用手口など、一次ソースで確定できなかった点は本文で「未確認」と明示しています。最新情報は Microsoft MSRC の該当アドバイザリと CISA KEV カタログでご確認ください。
概要(まず結論)
- 何が: Microsoft SharePoint Server(オンプレミス版)の RCE 脆弱性。
- CVE: CVE-2026-45659。
- 深刻度: CVSS 8.8(High)。
- 種別: 信頼できないデータのデシリアライズによるリモートコード実行(CWE-502: Deserialization of Untrusted Data)。
- 影響製品: SharePoint Server Subscription Edition、SharePoint Server 2019、SharePoint Enterprise Server 2016。
- 攻撃条件: ネットワーク経由で、認証済みかつ最低 Site Member 権限(PR:L)を持つ攻撃者が悪用可能。管理者権限は不要、攻撃複雑度は低。
- 修正: Microsoft が2026年5月のセキュリティ更新で修正済み。
- 悪用状況: CISA が2026年7月2日に KEV へ追加し、実際の悪用を確認したと明記。
- 是正期限: 連邦民間行政機関に対して2026年7月4日まで(BOD 26-04 に基づく数日以内)。
対策の要点を先に言えば、2026年5月のセキュリティ更新(累積更新)を適用すること、そしてSharePoint を不必要にインターネット公開しないことです。詳細は後述します。
脆弱性の概要
CVE-2026-45659 は、SharePoint Server がユーザー由来のデータをデシリアライズする際に、その型や整合性を十分に検証しないことに起因します。攻撃者が細工したペイロードをサーバに送り込むと、デシリアライズ処理の過程でサーバ上の権限(典型的には IIS ワーカープロセスの ID)で任意コードが実行されうる、という構造です。
重要なのは攻撃条件です。The Register および SecurityWeek の報道によれば、この脆弱性は認証済みの攻撃者が対象で、必要なのは「最低 Site Member 権限」だけとされています。管理者権限やその他の昇格された権限は不要で、攻撃複雑度は低(Low)と評価されています。CVSS ベクトルでいう PR:L(Privileges Required: Low)に相当します。
SharePoint のようなコラボレーション基盤では、社内の一般ユーザーや、場合によっては外部共有された相手にも Site Member 相当の権限が付与されているケースが珍しくありません。「認証が必要」という条件は一見ハードルに見えますが、実運用ではそれほど強い障壁にならない点に注意が必要です。
WARNING
Microsoft は当初、この脆弱性の悪用可能性を「Exploitation Less Likely(悪用の可能性は低い)」と評価していました。しかし CISA は実際の悪用を確認して KEV に追加しています。ベンダーの初期評価が低いことは、放置してよい理由にはなりません。
技術的背景: なぜデシリアライズが RCE になるのか
「デシリアライズ」とは、バイト列や文字列として保存・送信されたデータを、プログラム内のオブジェクトへ復元する処理です。SharePoint は .NET ベースであり、ビューステートやワークフロー、各種メタデータの受け渡しでオブジェクトのシリアライズ/デシリアライズを多用します。
問題は、信頼できない入力をそのままデシリアライズすると、攻撃者がオブジェクトのグラフ(構造)そのものを注入できてしまう点にあります。.NET には BinaryFormatter などの危険なフォーマッタや、いわゆる「ガジェットチェーン」と呼ばれる、復元時に副作用として任意の処理を連鎖実行できるクラスの組み合わせが知られています。攻撃者は、復元された瞬間にコマンド実行へつながるようなオブジェクトを組み立て、それを文字列化してサーバへ送り込みます。
概念だけを最小限のコードで示すと、危険なのは次のような「型を検証せずに受信データを復元する」パターンです。あくまで危険性を説明するための擬似コードであり、実際の攻撃コードではありません。
// アンチパターン: 信頼できない入力を型検証なしでデシリアライズする
// 攻撃者が制御する untrustedInput が、復元時に任意コードを実行しうる
using (var ms = new MemoryStream(Convert.FromBase64String(untrustedInput)))
{
var formatter = new BinaryFormatter(); // 危険なフォーマッタ
object obj = formatter.Deserialize(ms); // ここでガジェットチェーンが発火しうる
}安全な設計では、そもそも信頼できない入力に対して任意型のデシリアライズを行わず、許可する型を明示的に制限(アローリスト化)したり、DataContractSerializer や JSON の型バインディング制限といった、より安全なシリアライザを使ったりします。CVE-2026-45659 の具体的な内部実装や、どのエンドポイント・どのフォーマッタが問題だったかの詳細は、本記事執筆時点で一次情報として確認できていません(未確認)。ここで述べたのはデシリアライズ RCE 一般の仕組みです。
デシリアライズ RCE の攻撃者視点での「うまみ」については、デシリアライズ由来の実攻撃事例でも触れています。あわせて参照してください。
悪用状況と CISA KEV
CVE-2026-45659 は、2026年7月2日に CISA の Known Exploited Vulnerabilities(KEV)カタログへ追加されました。KEV への追加は、CISA が「実際に悪用されている証拠がある」と判断した場合に行われるもので、単なる注意喚起よりも一段強いシグナルです。
連邦民間行政機関(FCEB)に対しては、拘束的運用指令 BOD 26-04 に基づき、2026年7月4日までに是正(パッチ適用など)を完了するよう命じられました。KEV 追加から期限まで数日というスピード感は、CISA がこの脆弱性を高リスクと見なしていることを示します。BOD は連邦機関向けの義務ですが、民間企業にとっても「KEV 掲載 = 優先的にパッチを当てるべき脆弱性」という実務上の指標として広く使われています。
一方で、悪用の詳細は公開されていません。The Register や BleepingComputer の報道時点では、誰が(どの攻撃グループが)、どのように悪用し、最終的な狙いが何かは CISA から開示されていないとされています。一部の解説サイトでは特定の攻撃グループ名やランサムウェアとの関連に言及していますが、これらは一次情報で裏が取れておらず、本記事では攻撃者の帰属は未確認として扱います。断定は避けます。
なお、露出面の規模については、Shadowserver が「1万台を超える SharePoint サーバがインターネットに露出している」と観測しているとの報道があります(BleepingComputer)。この数字は CVE-2026-45659 に脆弱な台数そのものではなく、あくまでネットワーク到達可能な SharePoint の母数である点に留意してください。
2025年の「ToolShell」との関係
2025年には、SharePoint のオンプレミス版を標的にした「ToolShell」と呼ばれる一連の攻撃(CVE-2025-53770 など)が大きな話題になりました。認証を回避しつつデシリアライズを悪用する手口で、複数の攻撃グループやランサムウェアに悪用され、広範な被害が出ています。
CVE-2026-45659 も「SharePoint のデシリアライズ RCE」という点で系譜としては近い一方、両者は別個の脆弱性です。混同しないでください。今回の CVE-2026-45659 は認証済み(Site Member 権限)が前提とされている点が、認証回避を含んでいた 2025年の ToolShell 系とは条件が異なります。ToolShell 側の CVE 番号・条件・被害範囲を CVE-2026-45659 のものとして扱わないよう注意が必要です。両者を結びつける公式な一次情報は、本記事執筆時点で確認できていません(未確認)。
影響範囲と確認方法
影響を受けるのは、報道で一貫して挙げられている次のオンプレミス版です。
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Enterprise Server 2016
クラウドの SharePoint Online(Microsoft 365)については、報道で影響製品として挙げられておらず、オンプレミス版が対象と理解するのが妥当です。自組織で SharePoint Server を運用しているか、まずは棚卸ししてください。特に「昔立てたきり放置されている」インスタンスや、テスト用に外部公開したままのものが盲点になりがちです。
適用済みの更新プログラムは、SharePoint 管理シェル(PowerShell)でビルド番号を確認することでおおまかに把握できます。次は環境の現状把握のための読み取り専用コマンドの例です。
# SharePoint のビルド番号(パッチ適用状況の目安)を確認する
Get-SPFarm | Select-Object BuildVersion
# 個々のサーバに適用済みの製品/更新を一覧する
Get-SPProduct | Select-Object ProductName, PatchableUnitDisplayName, Patched取得したビルド番号を、Microsoft が公開する SharePoint のビルド番号一覧および該当 CVE のアドバイザリと突き合わせて、2026年5月のセキュリティ更新が適用済みかを判断します。具体的な KB 番号やターゲットビルドは製品エディションごとに異なり、本記事では確定した KB 番号を掲載しません(要確認)。必ず MSRC の CVE-2026-45659 アドバイザリで自組織のエディションに対応する更新を確認してください。
対策: パッチ適用・緩和・検知
対応の優先順位は明確です。パッチ適用が最優先で、それ以外は補助的な緩和・検知と位置づけてください。
1. パッチを適用する(最優先)Microsoft は2026年5月のセキュリティ更新で本脆弱性を修正しています。SharePoint の更新は、言語パックの整合や PSConfig(構成ウィザード)の実行まで含めて初めて完了する点に注意してください。バイナリを当てただけで構成ステップを飛ばすと、修正が有効にならない場合があります。適用手順とKB番号は MSRC アドバイザリと製品ドキュメントに従ってください。
WARNING
本番の SharePoint ファームへ更新を適用する前に、必ずステージング環境での検証とバックアップを取得してください。SharePoint の累積更新は影響が広く、構成ウィザードの失敗がサービス停止につながることがあります。
- SharePoint Server を不必要にインターネットへ公開しない。VPN やゼロトラストアクセスの背後に置く。
- 認証済み攻撃が前提であることを踏まえ、不要な外部共有アカウントや休眠アカウントを棚卸し・無効化する。Site Member 権限の付与範囲を見直す。
- AMSI(Antimalware Scan Interface)連携が利用可能なバージョンでは有効化し、EDR と組み合わせる。ただしこれらは根本対策ではなく、あくまで補助です。
- IIS のアクセスログで、SharePoint の該当エンドポイントへの不審な POST や、異常に大きい/エンコードされたペイロードを含むリクエストを監視する。
w3wp.exe(IIS ワーカープロセス)からcmd.exeやpowershell.exeなどが子プロセスとして起動していないかを EDR で監視する。デシリアライズ RCE は多くの場合、Web プロセスからのコマンド実行として観測できます。- SharePoint の LAYOUTS ディレクトリや Web シェルが置かれやすい場所に、身に覚えのない
.aspxファイルが追加されていないか確認する。
KEV に掲載された以上、パッチ未適用のまま週明けを迎えるのは避けるべきです。今日のうちに棚卸しと適用計画を立てることを強く推奨します。
まとめ
CVE-2026-45659 は、SharePoint Server のデシリアライズに起因する CVSS 8.8 の RCE 脆弱性で、認証済みかつ Site Member 権限だけで悪用されうる点が厄介です。Microsoft は2026年5月に修正を提供済みですが、CISA が7月2日に KEV へ追加し、7月4日という短い是正期限を設定したことから、実際の悪用が進んでいる現実味の高い脅威だと理解すべきです。
- 今すぐやること: SharePoint Server の棚卸しと、2026年5月セキュリティ更新の適用状況の確認。
- まだなら: MSRC アドバイザリに従いパッチを適用し、構成ウィザードまで完了させる。
- 並行して: 外部公開の見直し、権限の棚卸し、Web プロセスからのコマンド実行の監視。
本記事の攻撃者帰属・具体的な悪用手口・KB番号などは一次情報で確定できていない部分があり、それらは「未確認」と明示しました。確定情報は Microsoft MSRC と CISA KEV の一次ソースで随時ご確認ください。関連して、認証やデシリアライズがどのように RCE へつながるかはプロンプトインジェクションがRCEになる仕組みや2026年の主要セキュリティインシデントまとめもあわせて参照すると、攻撃者の発想と防御の勘所がつかめます。


