米サイバーセキュリティ・インフラセキュリティ庁(CISA)は先ごろ、Microsoft SharePoint Serverで新たに発見された脆弱性CVE-2026-45659を、既知の悪用済み脆弱性(KEV)カタログに追加しました。
今回の追加は、企業環境において実際に悪用が進行しているリスクの高さを浮き彫りにしています。この脆弱性はCWE-502(信頼できないデータのデシリアライゼーション)に分類され、認証済みの攻撃者がネットワーク経由で任意のコードを実行できるというもので、オンプレミスでSharePointを運用する組織にとって重大な脅威となります。
CISAの報告によると、この脆弱性はMicrosoft SharePoint Serverにおけるシリアル化オブジェクトの不適切な処理に起因します。有効な認証情報を持つ攻撃者は、デシリアライゼーションの過程で悪意のあるペイロードを注入できます。
この脆弱性の悪用に成功すると、リモートコード実行(RCE)につながる恐れがあります。これにより、攻撃者はSharePointのコンテンツを改ざんしたり、ネットワーク内を横断的に移動したり、侵害された環境内で永続的なアクセスを確立したりすることが可能になります。
現時点でこの脆弱性がランサムウェアキャンペーンに関連しているという公開情報はありませんが、KEVカタログに追加されたこと自体が、実際の環境で悪用が発生していることを示しています。
この脆弱性は2026年7月1日に正式にKEVカタログへ追加され、CISAの拘束的運用指令(BOD)26-04のもと、2026年7月4日を期限とする修正が義務付けられました。
この指令により、連邦民間機関はリスクの優先順位付けに基づいた厳格な期限内に、特定された脆弱性を修正することが求められます。各組織には、ベンダーが提供する緩和策を直ちに実施するとともに、パッチ適用要件とCISAのフォレンジック・トリアージ・ガイドライン(必要に応じてインシデント対応や侵害後の分析を支援するもの)の両方への準拠を徹底することが強く求められています。
セキュリティ専門家は、デシリアライゼーションの脆弱性が、特にSharePointのような企業向けコラボレーションプラットフォームにおいて、根強く危険な攻撃ベクトルであると警告しています。こうしたプラットフォームは機密性の高い業務データを扱い、より広範なIDインフラと連携していることが多いためです。
攻撃者は通常、アプリケーションが処理する際に意図しない実行パスを引き起こすよう悪意を持ってシリアル化されたオブジェクトを作成することで、こうした弱点を突きます。
この脆弱性の悪用には認証済みアクセスが必要となるため、脅威アクターは初期侵入を果たすために、認証情報の窃取やフィッシングキャンペーン、あるいは既に侵害済みのアカウントといった手法をこの脆弱性と組み合わせて使う可能性があります。
CISAの勧告では、組織はインターネットに公開されているSharePointインスタンスをすべて特定して自らの露出状況を評価し、それに応じてパッチ適用の優先順位を決めるべきだと強調しています。
緩和策が利用できない、あるいは速やかに適用できない状況にある場合、各機関は攻撃対象領域を一時的に縮小するため、影響を受けるサービスを無効化することが推奨されています。
さらに、クラウドホスト型のSharePointサービスを利用している組織は、BOD 26-04内のクラウド環境向けの specific なガイダンスに従い、ベンダー側の緩和策が確実に検証・適用されているかを確認する必要があります。
CVE-2026-45659がKEVカタログに追加されたことは、サイバー侵入キャンペーンにおいて企業向けコラボレーションプラットフォームが価値の高い標的として狙われる傾向が強まっていることを裏付けています。
セキュリティチームには、SharePointにおける不審な活動を監視し、認証ログの異常を確認するとともに、不正アクセスのリスクを軽減するために多要素認証(MFA)を含む強固なアクセス制御を導入することが推奨されています。
脅威アクターがアプリケーション層の脆弱性を悪用し続ける中、進化を続ける攻撃手法から防御するためには、迅速なパッチ適用と積極的な脅威ハンティングが引き続き不可欠です。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/cisa-adds-actively-exploited-microsoft-sharepoint-vulnerability/