SharePointの期限は明日、Ciscoは認証不要で乗っ取り可能―2つの緊急CVEまとめ
CISAが緊急追加したSharePoint(CVE-2026-20963)とCisco FMC(CVE-2026-20131)の脆弱性。ランサムウェアが36日間ゼロデイ悪用していた。日本企業が今すぐ確認すべき2つのCVE。
ニュース
kkm
Backend Engineer / AWS / Django
企業のSharePointとファイアウォールに緊急パッチが必要です
あなたの会社のイントラネットはSharePointで動いていませんか。ネットワークの入口にCiscoのファイアウォールは置いてありませんか。
2026年3月18日と19日、米国のCISA(サイバーセキュリティ・インフラストラクチャ安全保障局、米国政府のサイバーセキュリティ専門機関)が2つの脆弱性を「実際に攻撃に使われている」として緊急カタログに追加しました。
| 製品 | CVE番号 | 深刻度 | CISA期限 |
|---|---|---|---|
| Microsoft SharePoint | CVE-2026-20963 | CVSS 8.8 (高) | 3月21日 (明日) |
| Cisco Secure Firewall MC | CVE-2026-20131 | CVSS 10.0 (最大) | 4月9日 |
CISA期限とは、米国連邦政府機関がパッチを適用しなければならない期限です。日本企業に法的拘束力はありませんが、「米国政府が期限付きで対応を命じるほど危険」という深刻度の指標になります。
SharePointの脆弱性は何が危ないのか
CVE-2026-20963は「デシリアライゼーション」と呼ばれる種類の脆弱性です。
デシリアライゼーションとは、ネットワーク経由で受け取ったデータを元のオブジェクト(プログラムが扱えるデータの塊)に復元する処理のこと。SharePointサーバーがこの処理を行う際に、送られてきたデータが本当に安全かどうかを十分に検証していなかったのが今回の脆弱性です。
攻撃者がSharePointサーバーに細工したデータを送ると、サーバー側でそのデータが「復元」される際に悪意あるコードが実行されます。これにより、SharePointサーバー上で任意のプログラムをリモートから実行できてしまいます。
| 項目 | 内容 |
|---|---|
| CVSSスコア | 8.8(高) |
| 攻撃に認証は必要か | 必要(低権限のアカウント) |
| ユーザー操作 | 不要 |
| パッチ公開日 | 2026年1月13日 (January Patch Tuesday) |
| CISA期限 | 2026年3月21日(明日) |
Microsoftは1月のパッチ公開時に「悪用される可能性は低い」と評価していました。しかし2か月後の3月、実際に攻撃での悪用が確認され、CISAが緊急カタログに追加する事態になりました。
影響を受けるのはオンプレミスのSharePoint Server 2016、2019、Subscription Editionです。Microsoft 365のSharePoint Onlineは今回の対象外ですが、オンプレミスのSharePointを社内イントラネットとして運用している企業は多いはずです。
修正パッチの適用番号はKB5002828(SharePoint 2016)、KB5002825(SharePoint 2019)です。
Cisco FMCの脆弱性は「認証不要で乗っ取り」
CVE-2026-20131はさらに深刻です。CVSSスコアは10.0。10段階の最大値です。
Cisco Secure Firewall Management Center(FMC)は、企業のネットワークを守るCiscoファイアウォールの集中管理画面です。このFMCのWeb管理画面にJavaのシリアル化データ(0xAC ED 00 05で始まるバイト列)を送りつけるだけで、認証なしで管理サーバーのroot権限(最高権限)を奪取できます。
| 項目 | 内容 |
|---|---|
| CVSSスコア | 10.0(最大値) |
| 攻撃に認証は必要か | 不要 |
| ユーザー操作 | 不要 |
| 回避策 | なし(パッチ適用のみ) |
| パッチ公開日 | 2026年3月4日 |
| CISA期限 | 2026年4月9日 |
つまりこういうことです。ファイアウォールの管理画面がインターネットからアクセスできる状態にあれば、攻撃者はIDもパスワードも不要で、ファイアウォール全体を完全に掌握できます。ファイアウォールのルールを書き換えれば、守られているはずの社内ネットワークが丸裸になります。
Ciscoは回避策がないことを明言しています。パッチを当てるしか防御方法はありません。クラウド管理版のFMC(cdFMC)は影響を受けませんが、オンプレミスのFMCは全バージョンが対象です。
ランサムウェアグループが36日間、誰にも気づかれず悪用していた
Cisco FMCの脆弱性(CVE-2026-20131)には、さらに深刻な背景があります。The Hacker Newsの報道によると、Interlockと呼ばれるランサムウェアグループが、Ciscoがパッチを公開する36日前からこの脆弱性をゼロデイとして悪用していました。
| 日付 | 出来事 |
|---|---|
| 1月26日 | Interlockがゼロデイ悪用を開始 |
| 3月4日 | Ciscoが公式パッチを公開 |
| 3月19日 | CISAがKEVカタログに追加 |
Interlockは2024年9月から活動しているランサムウェアグループで、教育、医療、産業、政府機関を標的にしています。Amazonの脅威インテリジェンスチームがハニーポット(攻撃者を誘い込むための囮サーバー)で活動を検知し、Ciscoに情報を共有したことで全容が判明しました。
Interlockの攻撃は多段階で構成されています。
- 1. FMCの脆弱性でファイアウォール管理サーバーに侵入
- 2. カスタムバックドアとPowerShellスクリプトで社内ネットワークを偵察
- 3. リモートデスクトップツール(ConnectWise ScreenConnect)で持続的なアクセスを確保
- 4. データを抜き取った後、ランサムウェアを展開
ファイアウォールの管理サーバーから侵入するため、通常のセキュリティ監視では検知が極めて困難です。Security Affairsの報道によると、被害を受けた組織にはDaVita(腎臓透析の大手)、Kettering Health(医療ネットワーク)、Texas Tech University(テキサス工科大学)が含まれます。
2つのCVEを一目で比較する
| 比較項目 | SharePoint CVE-2026-20963 | Cisco FMC CVE-2026-20131 |
|---|---|---|
| CVSSスコア | 8.8 | 10.0(最大値) |
| 認証 | 低権限が必要 | 不要 |
| 脆弱性の種類 | デシリアライゼーション | デシリアライゼーション (Java) |
| 悪用の確認 | あり | あり(Interlockが 36日間ゼロデイ悪用) |
| 回避策 | — | なし |
| パッチ公開日 | 1月13日 | 3月4日 |
| CISA期限 | 3月21日(明日) | 4月9日 |
| 影響範囲 | SharePoint Server 2016 / 2019 / SE | オンプレミスFMC 全バージョン |
2つのCVEに共通しているのは、いずれも「デシリアライゼーション」という同じ種類の脆弱性であるという点です。データの復元処理で送信内容を十分に検証していないという、古くから知られた問題がエンタープライズ製品でもいまだに見つかり続けています。
日本企業への影響と確認すべきこと
SharePointもCisco Secure Firewallも、日本の企業・官公庁で広く使われている製品です。
SharePointは、社内ポータルやイントラネット、ドキュメント共有の基盤としてMicrosoft 365と合わせて導入している企業が多く、特にオンプレミス版のSharePoint Server 2016/2019はまだ現役で稼働している環境が少なくありません。今回の脆弱性はこのオンプレミス版が対象です。
Cisco FMCは、企業のネットワーク境界を守るファイアウォールの集中管理基盤です。日本のISP、データセンター、大企業のネットワークインフラで広く採用されています。
SharePoint 管理者がやるべきこと
Cisco FMC 管理者がやるべきこと
- 1. FMCのバージョンを確認する(FMC管理画面 → 「Help」→「About」で確認可能)
- 2. Ciscoアドバイザリの修正バージョンに更新する(バージョンにより7.0.9、7.2.11、7.4.6、7.6.5、7.7.12、10.0.1のいずれか)
- 3. FMC管理画面がインターネットに直接公開されていないか確認する。認証不要の脆弱性のため、公開されていれば即座に攻撃対象になる
- 4. パッチ未適用の期間(特に1月26日以降)にFMCへの不審なアクセスがなかったか、ログを確認する
パッチを当てる「だけ」では足りない
2つの脆弱性に共通する教訓は、パッチが公開されてから実際に攻撃に使われるまでの時間が短くなっているということです。SharePointはパッチ公開から2か月で悪用が確認され、Cisco FMCに至ってはパッチ公開の36日前から悪用されていました。
パッチを当てれば新しい攻撃は防げます。しかし、パッチが出る前にすでに侵入されていた場合はどうでしょうか。Cisco FMCの脆弱性は1月26日からゼロデイ悪用されていたことが分かっています。3月4日のパッチ適用で穴は塞がりますが、その36日間にバックドアが仕掛けられていれば、パッチ適用後も攻撃者はアクセスを維持できます。
城の門を修理しても、すでに中に忍者が潜んでいたら意味がない。パッチ適用とあわせて、侵害の痕跡(IoC)の確認とログの精査が必要です。
特にCisco FMCを運用している組織は、パッチ適用だけでなく、1月26日以降のFMCアクセスログに不審な接続がないかの確認を強く推奨します。
参照元
- ▸ CISA Known Exploited Vulnerabilities Catalog
- ▸ Cisco Security Advisory - cisco-sa-fmc-rce-NKhnULJh
- ▸ Help Net Security - CISA warns of active exploitation of Microsoft SharePoint vulnerability
- ▸ BleepingComputer - Critical Microsoft SharePoint flaw now exploited in attacks
- ▸ SecurityWeek - CISA Warns of Attacks Exploiting Recent SharePoint Vulnerability
- ▸ The Hacker News - Interlock Ransomware Exploits Cisco FMC Zero-Day
- ▸ Security Affairs - Interlock group exploiting Cisco FMC flaw 36 days before disclosure
- ▸ AWS Security Blog - Amazon identifies Interlock ransomware campaign targeting enterprise firewalls
- ▸ The Hacker News - CISA Warns of Zimbra, SharePoint Flaw Exploits; Cisco Zero-Day Hit in Ransomware Attacks
- ▸ CVEReports - CVE-2026-20963
- ▸ CVEReports - CVE-2026-20131