結論:オンプレSharePointの5月パッチ適用を「今日」確認する
米CISA(サイバーセキュリティ・インフラセキュリティ庁)は2026年7月1日、Microsoft SharePoint Serverのリモートコード実行(RCE)脆弱性 CVE-2026-45659 を、実際の悪用を確認した脆弱性のリスト「KEVカタログ」に追加しました(出典:CISA「Known Exploited Vulnerabilities Catalog」一次データ、2026年7月3日閲覧)。設定された修正期限は2026年7月4日。追加から3日という、現行の運用指令(BOD 26-04)下では最短のレーンです。
影響を受けるのは社内ポータルや文書管理に使われるオンプレミス版のSharePoint Serverで、クラウド版のSharePoint Online(Microsoft 365)は対象製品に含まれていません。修正パッチはMicrosoftが5月に公開済みです。つまりこの記事を読んだ情シス担当者が今日やるべきことは新しい対処の調査ではなく、「社内にオンプレSharePointが何台あるか」「その全台に5月の更新が入っているか」を即答できる状態にすることです。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
何が起きたか:KEVエントリの要点
CISAのKEVカタログは「理論上危険な脆弱性」ではなく「攻撃者が現実に使っていることをCISAが確認した脆弱性」だけを載せるリストです。今回のエントリの一次情報は次のとおりです。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-45659 |
| 対象製品 | Microsoft SharePoint Server(オンプレミス版) |
| 脆弱性種別 | 信頼できないデータのデシリアライゼーション(CWE-502)によるRCE |
| CVSSスコア | 8.8(High) |
| KEV追加日 | 2026年7月1日 |
| 修正期限 | 2026年7月4日 |
| ランサムウェア攻撃での利用 | 不明(Unknown) |
(出典:CISA KEVカタログおよびNVD「CVE-2026-45659」、いずれも2026年7月3日閲覧)
NVDに登録されたMicrosoft採番のCVSSベクターでは、ネットワーク経由・攻撃条件の複雑さ低・必要権限は低(PR:L)・ユーザー操作不要とされています。管理者権限は不要で、報道によればサイトメンバー相当の一般権限を持つ認証済みアカウントがあれば攻撃が成立するとされます(出典:The Hacker News「SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation」、2026年7月3日閲覧)。フィッシング等で一般社員のアカウントを1つ奪えば、そこから文書基盤のサーバーを乗っ取れる構図であり、「認証が必要だから社内問題」とは言えません。
なお、誰がどのような目的で悪用しているかは現時点で公表されていません。また同報道によれば、Microsoftのアドバイザリでは本脆弱性は当初「悪用の可能性は低い(Exploitation Less Likely)」と評価されていたとされます。ベンダーの悪用可能性評価は、パッチ適用の優先順位を下げる根拠にはならない――これが本件のもう一つの教訓です。
対象バージョンと確認ポイント
NVDの対象製品情報に基づく影響バージョンは次のとおりです。
| 製品 | 影響 | 備考 |
|---|---|---|
| SharePoint Server Subscription Edition | 対象 | 5月公開の更新を適用 |
| SharePoint Server 2019 | 対象 | 同上 |
| SharePoint Enterprise Server 2016 | 対象 | 同上。延長サポート終了が近く塩漬け化しやすい |
| SharePoint Online(Microsoft 365) | 対象外 | オンプレ版のみが対象 |
(出典:NVD「CVE-2026-45659」対象製品情報、2026年7月3日閲覧)
注意すべきは2016です。移行途中で残った旧バージョンのサーバーは資産管理台帳から漏れやすく、「存在自体を忘れられたSharePoint」が今回の攻撃対象として最も危険です。
独自分析:KEV全1,631件の期限データが示す「3日」の位置づけ
「修正期限3日」がどの程度のシグナルなのか、KEVカタログの一次データ(2026年7月1日版・全1,631件)を集計して確かめました。
| 修正期限の区分 | 件数 | 全体比 |
|---|---|---|
| 3日 | 44件 | 約2.7% |
| 14日 | 255件 | 約15.6% |
| 21日(従来の標準) | 1,025件 | 約62.8% |
| その他(半年等) | 307件 | 約18.8% |
歴代では21日(3週間)が標準で、3日期限は全体の2.7%しかありません。一方、2026年6月1日以降に追加された24件を見ると、うち18件が3日期限です。つまりCISAは新しい運用指令(BOD 26-04)のもとで期限を実質「3日か14日か」の二段階に分けており、3日は「最優先で当てろ」と分類された高リスクレーンを意味します。CVE-2026-45659はそのレーンに入りました。直近ではPTC Windchill FlexPLMの脆弱性やCisco CUCMのSSRF脆弱性、同じく今週KEV入りした保守ツールSimpleHelpの認証バイパスも同じ3日レーンです。
なお、この期限は米連邦民間行政機関への義務であり日本企業への法的義務ではありません。しかし「攻撃者が現に使っている」という公式確認と、その中でも最短レーンという分類は、民間企業にとって最も信頼できる優先順位付けのシグナルです。
今日中に確認するチェックリスト
- 社内・データセンター・IaaS上のオンプレSharePoint Serverを全台リストアップした(台帳外の検証機・移行残骸を含む)
- 各サーバーのバージョンとパッチレベルを確認し、2026年5月以降のセキュリティ更新が適用済みか判定した
- 未適用のサーバーは今日〜明日で適用計画を確定した(適用まではインターネット側からのアクセス経路を制限)
- SharePointにアクセスできるアカウントの棚卸しを実施した(退職者・委託先の残存アカウント、一般権限でも攻撃起点になる)
- 5月以前からの侵害可能性を考慮し、SharePointサーバーの不審なプロセス実行・管理外の変更がないかログを確認した
「即答できなかった」ことが本当のリスク
このニュースで問われているのは、CVE-2026-45659そのものへの対処だけではありません。「オンプレSharePointは何台あるか」「5月のパッチは当たっているか」に即答できなかった組織は、次のKEV追加でも同じ状況に陥ります。3日レーンの追加は今後も毎週のように続くため、資産棚卸しとパッチ適用状況を常時把握する仕組みそのものが必要です。
自社サーバーの露出状況や未適用パッチをまとめて洗い出したい場合はセキュリティ脆弱性診断で現状を可視化できます。KEV監視やパッチ優先順位付けを毎週回す体制を自社だけで維持できない場合は、月額のセキュリティ顧問サービスとして運用を伴走する形が現実的です。すでに不審な兆候がある場合は、調査を後回しにせずインシデント対応の初動支援をご検討ください。
パッチ適用の判断に迷う点がある、社内のSharePoint資産の全容がつかめていない、といった段階のご相談でも構いません。GXOへの相談はこちらから受け付けています。
よくある質問
Q. Microsoft 365のSharePoint Onlineを使っている場合も対応が必要ですか?
A. NVDの対象製品情報にSharePoint Onlineは含まれておらず、影響を受けるのはオンプレミス版のSharePoint Serverです。ただしオンプレ版からOnlineへ移行済みの企業でも、移行前の旧サーバーが停止されずに残っているケースがあり、その残存サーバーは対象です。
Q. 5月のパッチを適用済みなら、もう何もしなくてよいですか?
A. 本脆弱性自体は修正されます。ただし悪用がいつから行われていたかは公表されていないため、パッチ適用前に侵害されていた可能性は残ります。適用時期が遅かったサーバーはログの確認と、SharePointにアクセスできるアカウントの棚卸しを推奨します。
Q. 攻撃には認証が必要とのことですが、社外からの攻撃は成立しないのでは?
A. 必要とされる権限は管理者ではなく一般利用者相当(PR:L)です。フィッシングやパスワードリスト攻撃で一般社員のアカウントを奪えば外部から攻撃が成立します。委託先に付与したアカウントも同様に起点になり得ます。
Q. ランサムウェア攻撃に使われていますか?
A. CISAのKEVエントリでは「不明(Unknown)」とされています(2026年7月3日閲覧時点)。ランサムウェアでの利用が確認されていないことは、安全であることを意味しません。
(本記事の一次出典:CISA「Known Exploited Vulnerabilities Catalog」・NVD「CVE-2026-45659」。二次出典:The Hacker News・SecurityWeek各記事。いずれも2026年7月3日閲覧)







