CyberFix Note
脆弱性・CVE解説

CVE-2026-56164 SharePoint Serverの認証欠落による権限昇格。CVSSは低いのに実悪用される理由を機構から読む

対象の目安: SharePoint Serverを運用する情報システム / 実務

リク編集長 / セキュリティ全般・戦略
・ 約13分で読めます
CVE-2026-56164 SharePoint Serverの認証欠落による権限昇格。CVSSは低いのに実悪用される理由を機構から読む

オンプレミスのSharePoint Serverに、未認証の攻撃者がネットワーク経由で権限を昇格できる脆弱性CVE-2026-56164が見つかりました。原因は重要な機能で本来必要な認証チェックが欠けていることにあり、CVSSの基本値は5.3とそれほど高くありません。それにもかかわらず、Microsoftは実際の攻撃での悪用を確認しており、CISAも即時の対応を促しています。数値の低さと実際のリスクの大きさが食い違うのはなぜか、その理由はこの権限昇格が単体で使われるのではなく、他のSharePointの弱点と連鎖して悪用される点にあります。

対象読者は、SharePoint Enterprise Server 2016やSharePoint Server 2019、SharePoint Server Subscription Editionをオンプレミスで運用する情報システムの担当者です。攻撃の再現手順やペイロードは示しません。記述はMicrosoftのセキュリティ更新ガイド、NVD、CISAのアラートとKEVカタログ、および実悪用を報じた記事にもとづき、事実は執筆時点(2026年7月19日)で確認できた範囲に限ります。検証は自組織が管理する環境に対してのみ行う前提です。

CVE-2026-56164の基本情報

CVE-2026-56164は、オンプレミスのSharePoint Serverにおける権限昇格(Elevation of Privilege)の脆弱性です。原因の分類はCWE-306(Missing Authentication for Critical Function)で、重要な機能を呼び出すときに本来求められるはずの認証チェックが欠けていることに起因します。深刻度はCVSS v3.1の基本値で5.3、Microsoftの深刻度評価はModerate(中)とされています。

数値だけを見ると中程度にとどまりますが、Microsoftはこの脆弱性が実際の攻撃で悪用されたこと(in the wild)を確認しています。修正が出る前から悪用が観測されたゼロデイであり、スコアの低さと運用上の切迫度が一致しない点が最初の注意点です。攻撃には事前の認証も利用者の操作も要らず、未認証の攻撃者がネットワーク経由で到達できます。

NVDはCVE-2026-56164を、オンプレミスSharePoint Serverにおける認証チェックの欠落(CWE-306)による権限昇格として記載し、未認証の攻撃者がネットワーク経由で悪用できるとしています。

認証チェックの欠落がどこで起きるか

SharePoint Serverは、クライアントとサーバがやり取りするためのクライアントサービスをIIS上で公開しています。悪用には、このクライアントサービスのエンドポイントである /_vti_bin/client.svc への直接のネットワーク到達が必要とされています。攻撃者はまずこの経路に到達できることが前提になります。

CWE-306が示すのは、重要な機能を実行する前に呼び出し元が正当かどうかを確かめる関門が欠けている状態です。本来であれば、権限を要する操作に進む前に認証済みかどうかを検証すべきところ、その検証が抜けているため、未認証のリクエストが重要機能へ届いてしまいます。結果として、資格情報を持たない攻撃者がネットワーク経由でその機能を呼び出し、権限を引き上げられます。

したがって、影響判定の出発点は、SharePointのクライアントサービスのエンドポイントが信頼できない発信元から到達できる状態になっていないかの確認になります。運用担当者はまず、外部やセグメント外からこの経路にアクセスできる構成かどうかを把握しておくと、次に述べる連鎖のリスクを見積もりやすくなります。

CVSSが低いのに実悪用される理由

CVSSの基本値5.3は、この脆弱性を権限昇格の一項目として単体で評価した数値です。実際の攻撃では、権限昇格は連鎖の一部として使われます。攻撃者はCVE-2026-56164を足がかりに、他のSharePointの弱点と組み合わせて最終的な目的を達します。報告では、安全でないデシリアライズによるリモートコード実行(CVE-2026-45659)や、入力検証不備によるスプーフィング(CVE-2026-32201)と組み合わせる動きが観測されています。

連鎖の狙いは、IIS上のASP.NETが使うmachineKey、すなわちValidationKeyとDecryptionKeyの窃取にあります。machineKeyは、ViewStateなどのデータが改ざんされていないかを検証し、暗号化を解くための鍵です。攻撃者がこの鍵を手に入れると、__VIEWSTATE を自分で偽造してもサーバが正当なものとして受け入れてしまいます。偽造したViewStateを介して任意のコードが実行され、サーバに持続的な足場が作られます。つまり、単体では権限昇格にとどまる脆弱性が、鍵の窃取と組み合わさることでコード実行と持続化に化けるため、CVSS 5.3という数値は実際のリスクを過小評価しています。

このように既知の旧脆弱性(N-day)を束ねて成果を上げる流れが、今回の実悪用で観測されている点が要注意です。連鎖相手として名前が挙がっているデシリアライズによるRCE脆弱性の機構は、次の記事で整理しています。

あわせて読みたい

SharePoint Serverの認証済みRCE(CVE-2026-45659)。KEV収録を受けた対応の優先度

影響を受ける版と修正

影響を受けるのは、執筆時点でサポートされているオンプレミスの全ビルドです。具体的には、SharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Editionが対象になります。クラウド版のSharePoint Onlineはこの脆弱性の影響を受けません。オンプレミスでファームを運用している組織が対応の主対象です。

修正は、2026年7月14日のPatch Tuesdayでリリースされたセキュリティ更新として提供されました。この月の更新は500件を超える記録的な件数となっており、その中でSharePoint向けの更新にCVE-2026-56164の修正が含まれています。件数が多い月ほど適用の優先順位づけが難しくなりますが、実悪用が確認されている本件は優先度を上げて扱う対象です。

Microsoftのセキュリティ更新ガイドは、CVE-2026-56164の影響範囲をサポート対象のオンプレミスSharePoint Serverとし、2026年7月14日の更新で修正を提供したこと、SharePoint Onlineは影響を受けないことを示しています。

実悪用状況とKEVの扱い

CISAは2026年7月14日にCVE-2026-56164をKnown Exploited Vulnerabilities(KEV)カタログへ収録しました。KEVは実際の悪用が確認された脆弱性を集めた一覧で、収録された時点で運用上の対応優先度が引き上げられます。CISAはあわせて、新たな悪用の発生を受けてSharePointのハードニング(要塞化)を即時に進めるようアラートを発しています。

KEV収録に伴い、BOD 22-01にもとづいて連邦民間機関(FCEB)向けの是正期限が設定されました。今回の期限は2026年7月17日で、公開から3日という短い猶予です。この期限は米国連邦機関に向けたものですが、公開から悪用までの時間が短い脆弱性では、民間組織にとっても同程度の速度感が現実的な目安になります。

CISAのKnown Exploited Vulnerabilitiesカタログは、実際の悪用が確認された脆弱性を収録し、連邦民間機関に対してBOD 22-01にもとづく是正期限の遵守を求めています。

KEVやEPSSといった指標を使って多数のCVEに優先順位をつける考え方は、次の記事で整理しています。件数の多い月ほど、実悪用の有無を軸にした選別が対応を回す助けになります。

あわせて読みたい

脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方

パッチだけでは足りない理由と対応手順

7月14日の更新は、認証チェックの欠落という穴そのものを塞ぎます。しかし、既に窃取されたmachineKeyはパッチでは失効しません。攻撃者が公開前後にmachineKeyを盗み出していれば、更新を適用した後も偽造したViewStateを介して悪用を続けられます。これは、NetScalerでトークンの後始末を怠ると侵害が続いた事例や、CitrixBleedの教訓と同じ構図です。穴を塞いだだけでは、既に手渡ってしまった鍵は無効になりません。

このため、パッチ適用に加えて、CISAとMicrosoftが案内する手当てを順に進めます。以下は機構とあわせた対応手順です。

  1. 1

    サポート対象の全オンプレミス版(2016 / 2019 / Subscription Edition)に2026年7月14日の更新を適用する

  2. 2

    AMSI(Antimalware Scan Interface)統合をFull Modeで有効化し、悪用の試みに伴う悪意あるリクエストを検知しやすくする

  3. 3

    侵害が疑われるファームでは、SharePointとIISのmachineKey(ValidationKey/DecryptionKey)をローテーションする

  4. 4

    信頼できない発信元から /_vti_bin/client.svc を含むエンドポイントへのネットワークアクセスを制限する

  5. 5

    IISとSharePointのログを確認し、侵害の痕跡(IoC)を探索する

CISAは新たな悪用を受けたアラートで、SharePointの更新適用に加え、AMSI統合の有効化や、侵害が疑われる場合のmachineKeyのローテーションといったハードニングを推奨しています。

AMSIをFull Modeで有効化するのは、悪用の過程でやり取りされる悪意あるリクエストをスキャン対象に載せ、検知の機会を増やすためです。machineKeyのローテーションは、既に漏れたかもしれない鍵を無効化し、偽造ViewStateによる継続的なアクセスを断つための手当てになります。鍵を入れ替えれば、盗まれた古い鍵で作られた偽造データはサーバに拒否されるようになります。侵害の痕跡確認では、クライアントサービスのエンドポイントへの想定外のリクエストや、ViewStateの不自然な利用の兆候を手がかりにします。侵害が疑われる場合の初動対応の型は次の記事で整理しています。

あわせて読みたい

インシデント発生時の初動対応。最初の1時間で何をするか

なお、発見の経緯について一部の分析ではMandiantのインシデント対応チームとGoogleのFLAREチームが関与したと報じられており、実際の攻撃の中で見つかった脆弱性である可能性を示唆しています。ただし帰属を断定する情報はそろっておらず、報告によればという範囲で受け止めるのが妥当です。

恒久対策と露出面の見直し

短期の是正と並行して、SharePointのクライアントサービスが外部やセグメント外にどれだけ露出しているかを見直します。SharePoint Serverは社内の情報共有の中枢であると同時に、認証前に解釈される経路を持つため、境界に露出させたままにすると狙われやすいエッジ資産になります。到達範囲を業務に必要な発信元へ絞り、公式アドバイザリの購読で更新の公開を早期に把握しておくことが、次の同種脆弱性への備えになります。

境界に露出する資産の脆弱性が公開直後に狙われる背景と、露出面を狭める設計の全体像は次の記事で整理しています。オンプレミスのSharePointも、この観点で運用の見直し対象に含めておくと安全側に倒せます。

あわせて読みたい

境界に置くエッジ機器の脆弱性が侵入口として狙われる理由

確認チェックリスト

対応の抜けを防ぐための確認項目を整理します。

  • 運用中のSharePointがオンプレミス版(2016 / 2019 / Subscription Edition)で影響対象かを確認したか
  • サポート対象の全ビルドに2026年7月14日の更新を適用したか
  • AMSI統合をFull Modeで有効化したか
  • 侵害が疑われるファームでmachineKey(ValidationKey/DecryptionKey)をローテーションしたか
  • 信頼できない発信元から /_vti_bin/client.svc へのアクセスを制限したか
  • IISとSharePointのログでViewStateの不審な利用や異常なリクエストを確認したか
  • CVE-2026-45659などデシリアライズ系の関連脆弱性もあわせて修正済みか確認したか

CVE-2026-56164は、CVSSこそ5.3と中程度にとどまるものの、認証チェックの欠落を足がかりに他のSharePoint脆弱性と連鎖し、machineKeyの窃取からViewState偽造による任意コード実行と持続化へ至る点が実際のリスクを押し上げています。パッチで穴を塞ぎ、AMSIの有効化とmachineKeyのローテーションで漏れた鍵の悪用を断つ、という二段構えで対応します。数値の低さに引きずられず、実悪用とKEV収録という事実を軸に優先度を決めることが、この脆弱性への現実的な向き合い方になります。

出典・参考

この記事をシェア

関連する記事