SharePoint Serverの認証済みRCE(CVE-2026-45659)。KEV収録を受けた対応の優先度
対象の目安: SharePoint Serverを運用する情報システム担当・実務

Microsoft SharePoint Serverに、信頼できないデータのデシリアライゼーションに起因するリモートコード実行の脆弱性CVE-2026-45659が見つかりました。認証済みで権限の低い利用者が、ネットワーク経由でサーバー上にコードを実行できる状態になります。CVSS v3.1の基本値は8.8です。2026年7月1日、米CISAがこの脆弱性を既知の悪用された脆弱性(KEV)カタログへ収録し、実際の悪用が確認されました。
この記事は、SharePoint Serverを運用する情報システム担当に向けて、なぜこの脆弱性が更新プログラムの適用と侵害調査を急ぐべき対象なのかを、NVDとMicrosoftのアドバイザリ、CISA KEVをもとに整理します。あわせて、個別のCVE対応で終わらせず、KEV収録を起点にした優先度づけへつなげる判断のかたちを示します。
信頼できないデータのデシリアライゼーションでコードが走る仕組み
CVE-2026-45659はCWE-502(Deserialization of Untrusted Data)に分類されます。デシリアライゼーションは、ネットワークやファイルから受け取ったバイト列を、プログラム内部のオブジェクトへ復元する処理です。この復元の際に、入力されたデータの型や中身を十分に検証しないと、攻撃者が細工したデータがそのまま復元され、意図しない処理やコード実行につながります。
NVDの説明では、この脆弱性は認証済み(authorized)の攻撃者にネットワーク経由でのコード実行を許すものとされています。Microsoftのアドバイザリによれば、権限要件は低く、最小でSite Member権限を持つ認証済み利用者が悪用し得ます。管理者権限を必要としないため、正規に付与された一般利用者のアカウントが起点になり得る点が、この脆弱性の扱いを重くしています。
影響を受ける版と修正プログラム
影響を受ける製品と、修正が含まれるビルド、対応する更新プログラムは次のとおりです。自組織のSharePoint Serverが該当するかを、まず製品と現行ビルドで確認します。
| 製品 | 影響を受けるビルド | 修正版ビルド | 更新プログラム |
|---|---|---|---|
| SharePoint Server Subscription Edition | 16.0.19725.20280 未満 | 16.0.19725.20280 | KB5002863 |
| SharePoint Server 2019 | 16.0.10417.20128 未満 | 16.0.10417.20128 | KB5002870 |
| SharePoint Enterprise Server 2016 | 16.0.5552.1002 未満 | 16.0.5552.1002 | KB5002868 |
修正は2026年5月のセキュリティ更新プログラムで提供されました。ビルド番号とKBは執筆時点でMicrosoftのアドバイザリに掲載されている値です。適用の前提や手順は公式のアドバイザリと各KBの記載に従います。なお、SharePoint Server 2016とSharePoint Enterprise Server 2016には同じKBが適用されます。
KEV収録が示す悪用の確認と期限の位置づけ
CISAのKEV(Known Exploited Vulnerabilities)カタログは、悪用が確認された脆弱性だけを収録します。掲載されていること自体が、対応を急ぐ根拠になります。CVE-2026-45659は2026年7月1日にKEVへ収録されました。同日のCISAアラートでも、SharePoint Serverのデシリアライゼーション脆弱性として案内されています。
KEVには対応期限が付きますが、これは米連邦政府の文民行政機関に向けて定められるものです。CVE-2026-45659の期限は2026年7月4日と設定されました。民間の組織に同じ期限が義務として課されるわけではありません。ただし悪用が確認されている以上、民間にとっても緊急対応の目安として扱うのが妥当です。
境界機器での類例として、Ivanti Sentryの未認証RCEをKEV収録から整理した記事があります。
あわせて読みたい
Ivanti SentryのCVE-2026-10520が示す、境界アプライアンスの未認証RCEへの向き合い方
運用担当がとる初動の順序
認証済み経路の脆弱性であっても、悪用が確認されている以上、適用と調査を並行して進めます。次の順序で手を付けます。
- 1
製品とビルドを確認する
稼働中のSharePoint Serverの製品(Subscription Edition、2019、Enterprise Server 2016)と現行ビルドを確認し、影響対象に該当するかを判定します。2026年5月の更新プログラムを適用済みであれば、この脆弱性の修正はすでに含まれています。適用状況が曖昧な場合は、ビルド番号で確実に確かめます。
- 2
更新プログラムを適用する
該当する更新プログラム(Subscription EditionはKB5002863、2019はKB5002870、Enterprise Server 2016はKB5002868)を適用します。適用の前提と手順はMicrosoftのアドバイザリと各KBに従います。すぐに適用できない事情がある場合は、次の露出遮断を先行させます。
- 3
露出面を絞り監視を強める
SharePoint Serverをインターネットへ公開している場合は、到達経路を必要な範囲に絞り、不要な公開を止めます。認証済み利用者が悪用に必要であるため、アクセスログや認証ログを重点的に監視し、想定外のアカウントからの操作を検知できるようにします。
- 4
適用前の侵害を前提に痕跡を調べる
KEVに載る脆弱性はすでに悪用されているため、更新前に侵入されていた可能性を前提に調べます。想定外のプロセスやWebコンテンツの改ざん、外部との不審な通信、認証ログの異常を確認します。CISAやMicrosoftが公開する調査手順や指標(IoC)があれば、それに沿って点検します。
- 5
認証経路とアカウント権限を見直す
権限の低い認証済み利用者が起点になり得るため、不要なアカウントの棚卸しと権限の最小化、多要素認証の適用状況を点検します。乗っ取られた正規アカウントが悪用に使われる経路を狭めます。
侵害の可能性を認めた後の対応の流れは、初動対応の記事で整理しています。
あわせて読みたい
インシデント発生時の初動対応。最初の1時間で何をするか
KEVを起点にした優先度づけ
膨大な既知脆弱性の中で何から着手するかを決めるとき、KEV収録の有無は有力な判断材料になります。SharePoint Serverのように、社内外の多くの利用者が認証して使うグループウェア基盤で、外部に面していることも多い資産は、認証済みRCEであっても優先度を上げて扱う理由があります。認証の壁が突破の障害にならない攻撃者にとって、正規アカウントの一つは十分な足がかりになるためです。
KEVの位置づけと、EPSSなどを組み合わせた優先度づけの考え方は、次の記事で詳しく扱っています。
あわせて読みたい
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
更新プログラムの適用を組織の運用に定着させることが、こうした事案への基本的な備えになります。日々の更新管理の重要性は、次の記事でまとめています。
あわせて読みたい
ソフトウェア更新が脆弱性を塞ぐ仕組みと放置したときのリスク
なお、脆弱性の検証は自組織が管理する環境に限って行い、他者の機器やサービスへの無断のアクセスや検査は不正アクセス禁止法などの関連法令に触れるため行いません。悪用手順の詳細をここで示さないのも同じ理由からです。
まとめ
CVE-2026-45659は、信頼できないデータのデシリアライゼーションによって、認証済みで権限の低い利用者にコード実行を許す脆弱性です。CVSSは8.8で、2026年7月1日にKEVへ収録され、悪用が確認されました。対応の要点は、2026年5月の更新プログラムを確実に適用しつつ、露出面を絞り、適用前の侵害を前提に痕跡を調べることにあります。認証済み経路であるからこそ、アカウント権限と認証経路の見直しも欠かせません。個別のCVE対応にとどめず、KEVを起点にした優先度づけの運用として引き取ることが、次の同種の事案への備えになります。
CVE-2026-45659への対応で確認したいポイント
- 稼働中のSharePoint Serverの製品とビルドを確認し、影響対象(Subscription Edition、2019、Enterprise Server 2016)に該当するか判定したか
- 該当する更新プログラム(KB5002863 / KB5002870 / KB5002868)を適用したか、または2026年5月の更新を適用済みか確認したか
- 更新までの間、インターネットへの公開範囲を絞り、アクセスログと認証ログの監視を強めたか
- 適用前の侵害を前提に、想定外のプロセスや通信、Webコンテンツやログの異常を調査したか
- 権限の低い認証済み利用者が起点になり得る前提で、アカウントの棚卸しと権限の最小化、多要素認証の適用を点検したか
- KEV収録を起点にした優先対応の運用を、SharePoint以外の公開資産へも広げたか
出典・参考
関連する記事
Ivanti SentryのCVE-2026-10520が示す、境界アプライアンスの未認証RCEへの向き合い方
Ivanti Sentryの未認証OSコマンドインジェクションCVE-2026-10520(CVSS 10.0)を一次情報で整理します。root権限でのリモートコード実行に至る仕組み、CISA KEV収録に基づく優先度づけ、修正版適用と侵害痕跡調査を含む初動を、情報システムやインフラ運用の実務目線で解説します。
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
毎月大量に出るパッチを全部当てるのは不可能です。実際に悪用されている脆弱性(CISA KEV)と悪用予測スコア(EPSS)、深刻度(CVSS)を組み合わせたリスクベースの優先度付けを、優先度マトリクスと運用ステップ付きで実務担当者向けに解説します。
ソフトウェア更新が脆弱性を塞ぐ仕組みと放置したときのリスク
OSやアプリの更新には脆弱性の修正が含まれ、放置すると既知の弱点を突かれます。更新が弱点を塞ぐ仕組みと、自動更新を有効にする意義、サポート終了の意味を、IPAや総務省、Microsoftの一次情報に沿って入門者向けに整理します。


