チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「SharePointのRCE脆弱性って、ウチの社内ポータルも危ないんでしゅか?」
「認証済みじゃないと攻撃できないなら、社外からは安心していいんでしゅか?」
チップスボス、SharePoint Serverに新しいRCEのCVE-2026-45659が出たって聞いたんでしゅが、CVSS 8.8でかなり高めでしゅよね?
ボスそうだな。信頼できないデータの逆シリアライズに起因するRCEで、Site Member相当の認証があれば管理者権限なしで任意コード実行が可能だ。「認証必須」は安心材料ではなく前提条件にすぎん。
2026年5月26日、MicrosoftがSharePoint Serverのリモートコード実行脆弱性CVE-2026-45659を修正しました。
本記事では影響範囲、攻撃成立の条件、オンプレSharePoint運用企業が取るべき対策を整理していきます。
SharePointは社内文書とSharePointワークフローの中核に位置するシステムが多く、RCEが成立すれば被害が一気に広がります。
事件の概要、攻撃の仕組み、運用上のチェックポイントの順に整理していきます。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
Microsoftは5月のセキュリティ更新でCVE-2026-45659を含む複数の脆弱性に対処しました。
影響範囲はオンプレSharePointの主要3バージョンで、SharePoint Onlineは対象外です。
判明している情報は以下の通りです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-45659(CVSS 8.8、攻撃複雑度:低) |
| 対象バージョン | Subscription Edition、SharePoint Server 2019、Enterprise Server 2016 |
| 原因 | 信頼できないデータの逆シリアライズ |
| 必要権限 | Site Member以上の認証済みユーザ(管理者権限は不要) |
| 悪用観測 | 公開PoCなし、Microsoftは「悪用の可能性は低い」と評価 |
チップス「悪用の可能性は低い」ってMicrosoftが言ってるなら、急がなくてもいいんでしゅか?
ボスそれは過去のSharePoint RCEを甘く見すぎだ。CVE-2025-53770の悪用事例を見れば分かる通り、SharePointは攻撃者にとって魅力的な標的だ。「実質的な更新」として早期に適用するのが筋だな。
SharePointの逆シリアライズ脆弱性は、フィッシングや資格情報流用と組み合わせて致命的な侵害につながります。
認証が必要とはいえ、Site Memberは社内では広く配布される権限です。
典型的な攻撃の流れは以下の通りです。
パッチ適用に加え、認証強化と監査ログの取得・点検が要となります。
具体策は以下の通りです。
チップス権限を絞るだけでも、攻撃成立の難度がぐっと上がるんでしゅね。
ボスそうだ。SharePointは「とりあえずSite Member付与」が常態化しやすい。今回のパッチに合わせて権限棚卸しを進めれば、複合攻撃への耐性は確実に上がる。
CVE-2026-45659は公開PoCこそ確認されていないものの、CVSS 8.8の認証済みRCEはSharePointにおいて致命的なリスクです。
SharePointは社内文書の中枢に位置するため、攻撃者は資格情報入手後に最優先で狙う標的のひとつになります。
5月のセキュリティ更新を即時適用し、Site Member権限の棚卸しと監査ログ統合まで一体で進めましょう。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
