米サイバーセキュリティ・インフラセキュリティ庁(CISA)は水曜日、攻撃者がMicrosoft SharePointの深刻度の高いリモートコード実行脆弱性の悪用を開始したと警告しました。
CVE-2026-45659として追跡されているこの脆弱性は、信頼できないデータのデシリアライゼーションに起因するもので、低い権限しか持たない攻撃者でも、ユーザーの操作を必要としない低複雑度の攻撃によって、未パッチのSharePointサーバー上で任意のコードを実行できてしまいます。
「認証済みの攻撃者であれば誰でもこの脆弱性を突くことができます。管理者権限やその他の昇格した権限は必要ありません。ネットワーク経由の攻撃では、最低でもサイトメンバー権限(PR:L)を持つ認証済み攻撃者が、SharePointサーバー上でリモートコードを実行できる可能性があります」とMicrosoftは説明しています。
「この脆弱性はインターネット経由でリモートから悪用可能であるため、攻撃ベクトルはネットワーク(AV:N)です。攻撃者が対象システムについて事前に深い知識を持つ必要がなく、脆弱なコンポーネントに対してペイロードを使って繰り返し成功を収められるため、攻撃の複雑さは低(AC:L)となります」としています。
Microsoftは5月21日、この脆弱性に対処するためSharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Edition向けのセキュリティ更新プログラムをリリースしました。同社によると、このCVEは2026年5月のセキュリティ更新プログラムから誤って漏れていたとのことです。
インターネットセキュリティの監視団体Shadowserverは現在、オンラインに公開されている10,000台を超えるSharePointサーバーを追跡しています。ただし、これらのデバイスのうちどれだけがCVE-2026-45659を悪用する継続中の攻撃から既に保護されているかについての情報はありません。

Microsoftは2026年4月のパッチチューズデーで、別のSharePoint脆弱性にも対処していました。この脆弱性はゼロデイ攻撃で悪用されていたものです。
CISAは水曜日、この脆弱性を既知の悪用された脆弱性カタログ(KEV)に追加し、拘束力のある運用指令(BOD)26-04の要求に基づき、連邦政府文民機関(FCEB)に対して土曜日までにサーバーを保護するよう命じました。
BOD 26-04は先月発行されたもので、米連邦機関に対し、脆弱性がCISAのKEVカタログに含まれているか、大規模攻撃に向けて悪用を自動化できるか、対象資産がインターネット上に公開されているか、悪用に成功した場合に攻撃者が対象デバイスの部分的または完全な制御権を得られるか、といった観点に基づいてパッチ適用の優先順位を付けるよう求めています。
「この種の脆弱性は悪意あるサイバー攻撃者にとって頻繁に利用される攻撃ベクトルであり、連邦政府全体にとって重大なリスクをもたらします」と同サイバーセキュリティ機関は昨日警告しました。「クラウドサービスについては該当するBOD 26-04のガイダンスに従うか、緩和策が利用できない場合は当該製品の使用を中止してください。関係者は各資産のインターネット露出状況を評価し、BOD 26-04のパッチ適用ガイドラインの順守を確保する責任があります」としています。
CISAは2021年以降、悪用が確認されたMicrosoft SharePointの脆弱性11件にタグを付けており、そのうち7件はランサムウェア攻撃でも悪用されています。
攻撃者に先んじて、あらゆるレイヤーをテスト
セキュリティチームが記録できている攻撃成功件数は全体の54%にとどまり、アラートが上がるのはわずか14%です。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けないようにする方法を紹介しています。