CISAがSharePointの即時強化を要請、悪用の広がりを受け

オンプレミス版SharePointに影響する3件の脆弱性が実際に悪用されKEVカタログに追加されました。セキュリティ専門家は、パッチ適用だけでは事業への支障を防げないと警告しています。

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、オンプレミス版のコラボレーションプラットフォームであるMicrosoft SharePointに影響する3件の脆弱性が実際に悪用されていると警告し、各組織に対して直ちに対策を講じるよう求めました。

この連邦サイバーセキュリティ機関が最近公表した勧告では、管理者に対して脆弱なサーバーへのパッチ適用とMicrosoftの緩和策ガイダンスの確認を促すとともに、インターネットに公開されたSharePointインスタンスが、企業環境への足がかりを狙う攻撃者にとって引き続き魅力的な標的であるという前提に立つよう求めています。

パッチ適用が当面の最優先事項であることに変わりはありませんが、セキュリティ専門家は、今回の勧告を単なるPatch Tuesday対応の一環として片付けるべきではないと警鐘を鳴らしています。

Zero NetworksのフィールドCTOを務めるChris Boehm氏は、次のように述べています。「これこそが、単なるITインシデントと事業存続に関わる危機とを分ける境目です。SharePointサーバーが1台侵害されただけならチケット対応で済みます。しかし、そのサーバーがドメインコントローラーやバックアップ、ファイル共有への明確な経路を持っていれば、インフラ全体の暗号化や情報漏えい事案につながりかねません。セグメンテーションこそが、前者が後者に発展するのを防ぐのです」

CISAの勧告では、CVE-2026-332201CVE-2026-45659、そして新たに追加されたCVE-2026-56164が取り上げられており、いずれも実際の悪用が確認されたことから同庁の既知の悪用済み脆弱性(KEV)カタログに追加されています。

悪用状況が語る、深刻度評価とは異なる実態

CISAのKEVカタログに最も新しく追加されたのは、Microsoft SharePoint Serverに影響する権限昇格の脆弱性CVE-2026-56164です。CVSSスコアは5.3と設定されているものの、この脆弱性は認証なしでリモートから悪用可能であり、深刻度評価だけから受ける印象よりも実際にははるかに危険性が高いといえます。

Microsoftはサポート対象のSharePointバージョン向けにセキュリティ更新プログラムを公開済みで、悪用の試みに関連する不正なリクエストの検知を助けるため、AMSI(Antimalware Scan Interface)連携の有効化を推奨しています。

CISAはまた、各組織に対してMicrosoftのインシデント対応ガイダンスに従い、侵害の痕跡(IOC)を調査し、必要に応じてSharePointのマシンキーをローテーションするよう助言しました。すでに侵害されたサーバーについては、パッチ適用だけでは攻撃者の永続化を完全に排除できない可能性があることも認めています。

依然として悪用の入口となる旧脆弱性

新たに公表された脆弱性に加えて、CISAはCVE-2026-45659への対応の緊急性も改めて強調しています。これは安全でないデシリアライゼーションに起因するリモートコード実行(RCE)を許す脆弱性で、Microsoftは5月時点の勧告で「悪用される可能性は低い」としていたものです。CISAが指摘したもう一つの旧脆弱性は、ネットワーク経由のなりすましを許す不適切な入力検証の欠陥であるCVE-2026-32201です。

これら2件の脆弱性はいずれも、実際に悪用が確認されています。

CISAはSharePointの更新プログラム適用が遅れている組織に警鐘を鳴らすとともに、攻撃者が新規発見のゼロデイのみに依存するのではなく、既知の脆弱性(Nデイ)を狙う傾向を強めていると付け加えました。

パッチ適用の速度をめぐる懸念について、Boehm氏はレジリエンスの確保がもはや運用面だけでなくアーキテクチャ面の課題にもなりつつあると指摘しています。

同氏は次のように述べています。「パッチ適用の速さで対策を測るのはもうやめるべきです。それはいずれ負ける競争だからです。今回の脆弱性の中には、公表当日に修正プログラムが存在しないままゼロデイとして悪用が始まったものもあり、公表から悪用開始までの猶予はますます短くなっています。したがって経営レベルで問うべきは、サーバーが侵害されるかどうかではありません。侵害は起こるものと前提すべきです。問題は、たった1台の乗っ取られたシステムが、事業全体のうちどこまでを道連れにできてしまうかという点なのです」

Boehm氏は、セグメンテーションによってネットワークの到達範囲を制限することを、パッチ管理や脅威ハンティングと並ぶ中核的な防御戦略に位置づけるべきだと主張しています。同氏によれば、到達可能性は組織自身がコントロールできる管理策であり、パッチ適用のタイミングとは性質が異なるといいます。CISAは、拘束力のある運用指令(BOD)22-01に基づき、連邦文民行政機関(FCEB)に対してCVE-2026-56164の修正を3日以内に行うよう求めています。

翻訳元: https://www.csoonline.com/article/4197775/cisa-urges-immediate-sharepoint-hardening-as-exploits-mount.html

ソース: csoonline.com