harePoint脆弱性が攻撃対象に──パッチ遅延の危険性1月修正のRCE脆弱性CVE-2026-20963、2ヶ月後に悪用確認

1月パッチ済みのSharePoint脆弱性、2ヶ月後に悪用が確認される

Microsoftが2026年1月のPatch Tuesdayで修正したSharePointのリモートコード実行（RCE）脆弱性「CVE-2026-20963」が、野生環境で実際に悪用されていることが確認されました。SecurityWeekが3月19日に報じたところによると、パッチ適用が遅れている組織が攻撃者の標的となっています。修正パッチは2ヶ月前に公開されているにもかかわらず、適用の遅延がそのまま被害に直結している状況です。

なぜSharePointが狙われるのか──RCE脆弱性の深刻さ

SharePointは、多くの企業で社内ポータルやファイル共有基盤として利用されているMicrosoftの主力製品です。そのため、攻撃者にとってSharePointへの侵入は、内部ネットワーク全体への足がかりを得ることを意味します。

RCE脆弱性とは、攻撃者がリモートから任意のコードを実行できる脆弱性のことです。CVE-2026-20963を悪用されると、攻撃者はSharePointサーバー上で自由にプログラムを動かせるようになります。これは単なる情報漏洩にとどまらず、ランサムウェアの設置、社内システムへの横展開、機密データの窃取など、深刻な被害につながる可能性があります。

さらに注目すべき点として、3月のPatch Tuesdayでも新たなSharePoint RCE脆弱性が2件（CVE-2026-26106およびCVE-2026-26114）修正されています。これはSharePointが継続的に攻撃者の研究対象となっていることを示しており、今回のCVE-2026-20963だけでなく、SharePoint全体のセキュリティ対策が急務となっています。

パッチ適用遅延が招くリスク──2ヶ月の猶予期間を逃した代償

今回の事例が示す最大の教訓は、「パッチが公開されてから実際に攻撃が始まるまでの時間は限られている」ということです。1月にMicrosoftがパッチを公開した段階で、攻撃者もその脆弱性の存在を認識しています。パッチの内容を解析し、攻撃手法を開発するまでの期間は、組織にとっての「猶予期間」です。

この猶予期間内にパッチを適用できなかった組織は、攻撃者にとって格好の標的となります。特に今回のケースでは2ヶ月という比較的長い期間が経過しており、本来であれば十分に対応できたはずの時間がありました。しかし、パッチ適用の優先度判断や検証作業、運用上の制約などによって対応が遅れた組織が、結果として被害を受けています。

御社が今すぐ確認・実施すべきこと

この状況を踏まえ、御社のSharePoint環境を守るために以下のアクションを推奨します。

まず最優先で実施すべきは、自社のSharePoint環境における1月パッチの適用状況確認です。CVE-2026-20963への対応が完了しているかどうかを、システム管理者と連携して早急に確認してください。

次に、未パッチの環境が見つかった場合は緊急でパッチを適用します。通常の変更管理プロセスを経ている余裕がない場合は、リスクを経営層に報告したうえで、例外的な緊急対応として承認を得ることも検討してください。

また、SharePointのアクセスログを分析し、不審なアクセスや異常な挙動がないかを確認することも重要です。すでに侵入されている可能性を排除するために、過去数週間のログを重点的に調査してください。

さらに、3月に公開された新たなRCE脆弱性2件への対応も並行して進めてください。パッチ適用の遅延を繰り返さないためにも、今後のPatch Tuesday対応プロセスを見直す良い機会です。

最後に、パッチ適用の優先度判断基準を再検討することをお勧めします。RCEのような深刻な脆弱性については、通常の検証期間を短縮してでも迅速に適用するルールを整備しておくと、今後のリスク低減につながります。

セキュリティ対策の強化をお考えなら

「自社だけでは脆弱性対応の体制が十分でない」「パッチ適用の判断基準や監視体制を見直したい」とお考えの場合は、外部の専門家の力を借りることも有効な選択肢です。

GXOでは、180社以上の支援実績を持つセキュリティ事業を展開しており、SIEM/SOARによる監視基盤の構築、SOCサービスによる24時間監視、インシデント発生時の対応支援まで、企業のセキュリティ体制を包括的にサポートしています。

パッチ管理の最適化や脆弱性対応プロセスの整備についても、御社の状況に応じたご提案が可能です。まずはお気軽にご相談ください。

GXOに相談する