SharePoint ServerのRCE脆弱性CVE-2026-45659が悪用中、CISAが米政府機関に緊急パッチを命令

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「SharePointのパッチ、少し後回しにしても大丈夫?」
「認証が必要な脆弱性なら、外部から攻撃されにくいんじゃないの?」

チップス

ボス!SharePointに危ない脆弱性が出たって聞いたんでしゅけど、うちの会社のサーバーって大丈夫でしゅか?

ボス

Microsoftが5月にパッチを出していた。だが今、CISAが「悪用確認済み」と正式に警告を発した。パッチを当てていない組織は、すでに攻撃者の射程圏内に入っているぞ。

「パッチは出ているから後でいい」と後回しにした組織が、今まさに標的になっています。
この記事では、SharePoint ServerのRCE脆弱性CVE-2026-45659の概要から脆弱性の仕組み、今すぐ取るべき対策まで解説します。

  • CISAがSharePoint ServerのRCE脆弱性CVE-2026-45659をKEVカタログに追加(2026年7月1日)
  • 「Site Member」権限以上の認証済みアカウントで任意コード実行が可能、世界で10,000台超が露出中
  • Microsoftは5月21日に修正パッチを公開済み。未適用の組織はすぐに適用が必要

パッチ適用の優先順位を誤ると、社内ポータルや文書管理システムが攻撃者に完全制御される恐れがあります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

SharePoint Serverに深刻なRCE脆弱性、CISAが悪用を正式確認

2026年7月1日、CISA(米サイバーセキュリティインフラストラクチャセキュリティ庁)は、Microsoft SharePoint Serverに存在するRCE(リモートコード実行)脆弱性CVE-2026-45659を「既知悪用脆弱性(KEV)カタログ」に追加しました。
注目すべきは、Microsoftが自社アドバイザリで「悪用の可能性は低い」と評価していたにもかかわらず、実際には積極的な悪用が確認されていた点です。
CVSS基本スコアは8.8(High)で、ネットワーク経由の低複雑度攻撃が成立します。

影響を受けるバージョンとCISAの対応期限

今回の脆弱性が確認されているのは、以下の製品です。

  • SharePoint Server 2016 Enterprise Edition
  • SharePoint Server 2019
  • SharePoint Server Subscription Edition

米連邦民間行政機関(FCEB)は、BOD 26-04(拘束力のある運用指令)に基づき、2026年7月4日までのパッチ適用を義務付けられています。
セキュリティ研究機関Shadowserverの調査では、世界で10,000台以上のSharePointサーバーがインターネットに露出していることが確認されており、パッチ未適用のサーバーは攻撃者に格好の標的を提供している状態です。

チップス

1万台以上が露出でしゅか!?それって日本のサーバーも含まれるんでしゅか?

ボス

SharePointは国内の大手企業や官公庁でも社内ポータルや文書管理に広く使われている。インターネットに露出していれば、攻撃者に国籍は関係ない。自社サーバーの状態を今すぐ確認すべきだな。

「認証があれば安全」は誤り、デシリアライズ脆弱性がRCEに連鎖する仕組み

「認証が必要な脆弱性なら外部から攻撃されにくい」と思う人もいるでしょう。
しかしCVE-2026-45659は、SharePoint上のSite Member権限(一般的な読み書き権限)さえあれば悪用できます。
社内のSharePointを利用している従業員や、フィッシングでアカウントを奪われたケースでも、サーバー上での任意コード実行が成立します。

脆弱性の根本原因と攻撃が成立する条件

この脆弱性の根本原因は、「信頼できないデータのデシリアライズ(Deserialization of Untrusted Data)」です。
デシリアライズとは、バイト列やJSON・XMLなどの形式から元のオブジェクトを復元する処理のことで、入力値の検証が不十分だと、細工されたデータを渡すだけでサーバー上で任意のコードを実行させられます。
攻撃が成立する条件を整理すると、以下の通りです。

条件内容
攻撃経路ネットワーク経由(インターネットからも攻撃可能)
必要権限Site Member以上の認証済みアカウント
ユーザー操作不要(攻撃者が単独で実行可能)
攻撃複雑度低(Low)

「ユーザーの操作が不要」という点が特に危険です。
フィッシング等でSharePointアカウントを1件でも奪取できれば、そこからサーバー全体を掌握されるリスクがあります。

チップス

普通の社員アカウントが1個漏れただけで、サーバーを乗っ取られるんでしゅか?それは怖いでしゅ……

ボス

だからパッチ適用に「後でいい」はないのだ。Microsoftが5月にパッチを出してから1か月以上、未適用のサーバーは毎日攻撃にさらされていたことになる。

まとめ:「悪用可能性は低い」を鵜呑みにしない運用を

今回の事例は、ベンダーの公式評価と実際の攻撃状況が乖離するケースを改めて示しています。
Microsoftは「悪用の可能性は低い」と評価していましたが、CISAのKEV追加はその評価が現場の実態と異なることを示しました。
SharePoint Server 2016・2019・Subscription Editionを使用している組織は、Microsoftが提供する2026年5月の月例セキュリティ更新を直ちに適用してください。
社内にSharePointを運用しているかどうか、インターネットに露出していないかをあわせて確認することが重要です。

チップス

分かったでしゅ!パッチ適用を後回しにしないで、すぐ確認するでしゅ!

ボス

それでいい。脆弱性情報はベンダーの評価だけに頼らず、CISAのKEVカタログも定期的にチェックする習慣をつけておくとよいぞ。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次