チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「SharePointのRCE脆弱性って、ウチの社内ポータルも危ないんでしゅか?」
「認証済みじゃないと攻撃できないなら、社外からは安心していいんでしゅか?」
チップスボス、SharePoint Serverに新しいRCEのCVE-2026-45659が出たって聞いたんでしゅが、CVSS 8.8でかなり高めでしゅよね?
ボスそうだな。信頼できないデータの逆シリアライズに起因するRCEで、Site Member相当の認証があれば管理者権限なしで任意コード実行が可能だ。「認証必須」は安心材料ではなく前提条件にすぎん。
2026年5月26日、MicrosoftがSharePoint Serverのリモートコード実行脆弱性CVE-2026-45659を修正しました。
本記事では影響範囲、攻撃成立の条件、オンプレSharePoint運用企業が取るべき対策を整理していきます。
SharePointは社内文書とSharePointワークフローの中核に位置するシステムが多く、RCEが成立すれば被害が一気に広がります。
事件の概要、攻撃の仕組み、運用上のチェックポイントの順に整理していきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
Microsoftは5月のセキュリティ更新でCVE-2026-45659を含む複数の脆弱性に対処しました。
影響範囲はオンプレSharePointの主要3バージョンで、SharePoint Onlineは対象外です。
判明している情報は以下の通りです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-45659(CVSS 8.8、攻撃複雑度:低) |
| 対象バージョン | Subscription Edition、SharePoint Server 2019、Enterprise Server 2016 |
| 原因 | 信頼できないデータの逆シリアライズ |
| 必要権限 | Site Member以上の認証済みユーザ(管理者権限は不要) |
| 悪用観測 | 公開PoCなし、Microsoftは「悪用の可能性は低い」と評価 |
チップス「悪用の可能性は低い」ってMicrosoftが言ってるなら、急がなくてもいいんでしゅか?
ボスそれは過去のSharePoint RCEを甘く見すぎだ。CVE-2025-53770の悪用事例を見れば分かる通り、SharePointは攻撃者にとって魅力的な標的だ。「実質的な更新」として早期に適用するのが筋だな。
SharePointの逆シリアライズ脆弱性は、フィッシングや資格情報流用と組み合わせて致命的な侵害につながります。
認証が必要とはいえ、Site Memberは社内では広く配布される権限です。
典型的な攻撃の流れは以下の通りです。
パッチ適用に加え、認証強化と監査ログの取得・点検が要となります。
具体策は以下の通りです。
チップス権限を絞るだけでも、攻撃成立の難度がぐっと上がるんでしゅね。
ボスそうだ。SharePointは「とりあえずSite Member付与」が常態化しやすい。今回のパッチに合わせて権限棚卸しを進めれば、複合攻撃への耐性は確実に上がる。
CVE-2026-45659は公開PoCこそ確認されていないものの、CVSS 8.8の認証済みRCEはSharePointにおいて致命的なリスクです。
SharePointは社内文書の中枢に位置するため、攻撃者は資格情報入手後に最優先で狙う標的のひとつになります。
5月のセキュリティ更新を即時適用し、Site Member権限の棚卸しと監査ログ統合まで一体で進めましょう。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
