SharePointの期限は明日、Ciscoは認証不要で乗っ取り可能―2つの緊急CVEまとめ
CISAが緊急追加したSharePoint(CVE-2026-20963)とCisco FMC(CVE-2026-20131)の脆弱性。ランサムウェアが36日間ゼロデイ悪用していた。日本企業が今すぐ確認すべき2つのCVE。
堀川 慎
Backend Engineer / AWS / Django / Go
CISAが緊急追加したSharePoint(CVE-2026-20963)とCisco FMC(CVE-2026-20131)の脆弱性。ランサムウェアが36日間ゼロデイ悪用していた。日本企業が今すぐ確認すべき2つのCVE。
企業のSharePointとファイアウォールに緊急パッチが必要です
あなたの会社のイントラネットはSharePointで動いていませんか。ネットワークの入口にCiscoのファイアウォールは置いてありませんか。
2026年3月18日と19日、米国のCISA(サイバーセキュリティ・インフラストラクチャ安全保障局、米国政府のサイバーセキュリティ専門機関)が2つの脆弱性を「実際に攻撃に使われている」として緊急カタログに追加しました。
| 製品 | CVE番号 | 深刻度 | CISA期限 |
|---|---|---|---|
| Microsoft SharePoint | CVE-2026-20963 | CVSS 8.8 (高) | 3月21日 (明日) |
| Cisco Secure Firewall MC | CVE-2026-20131 | CVSS 10.0 (最大) | 4月9日 |
CISA期限とは、米国連邦政府機関がパッチを適用しなければならない期限です。日本企業に法的拘束力はありませんが、「米国政府が期限付きで対応を命じるほど危険」という深刻度の指標になります。
SharePoint と Cisco FMC を同時に欲しがる集団の素顔
36日間のゼロデイ運用と CISA の同時緊急追加というタイミングは、偶然ではなく、社内文書サーバと境界ファイアウォールを同時に握ろうとする経済合理性を持つ層が動いていることを示しています。彼らは別々の攻撃を組み合わせるのではなく、片方で資料を持ち出しもう片方で防御を切るという連動運用を狙っています。
この組み合わせを欲しがる顔ぶれは既に名指しが進んでいます。SharePoint の RCE を36日間ゼロデイとして運用していたのは Interlock ランサムウェアのオペレーター、役員メールや契約書PDFを狙う Storm 系の中国産業スパイ集団、侵入経路だけを切り出して身代金集団へ転売するロシア語圏の初期アクセスブローカー、外貨稼ぎで動く北朝鮮系の標的型ハッカー、そして金融機関の M&A; 資料を相場張りに使うインサイダー型のサイバー犯罪組織 でした。彼らが本気で取りに来るのは、SharePoint に積まれた未公開 M&A; ドラフト、人事評価、給与台帳、顧客契約書、製造図面、取締役会議事録 PDF といった「外に出た瞬間に株主と監督官庁が反応する」種類の資料です。SharePoint 側の RCE が踏まれた瞬間、社内文書サーバの管理者として攻撃者がログイン状態になり、同時に Cisco FMC を取られると、社内 Firepower の鍵束が丸ごと渡って通信の盗聴・改竄・遮断と IDS/IPS のサイレンス化が一手に行われます。境界の内側と外側が同じ人間に同時に握られる構図です。
この二枚の脆弱性は、ランサムウェアの標準キルチェーンから見ても異常に効率の良い組み合わせです。SharePoint のデシリアライズ RCE で内部に足場を作り、Active Directory への横展開で全社員アカウントを把握し、Cisco FMC でファイアウォールルールを書き換えて自分用のバックドア通信を許可し、ログを焼却する。観測側からすれば「ネットワークは正常」で、SOC のダッシュボードに赤いランプが点くこともありません。Interlock グループが36日間ゼロデイを温存していたのは、この連動を発動するまで気付かれずに居続けることが目的だったからで、ここまで来て初めて暗号化と公開リークの二段恐喝が走り出します。日本企業の SharePoint と Cisco FMC は、まさにこの二段攻撃の最も値段の付く組み合わせとして商品化されています。
技術指標としての CVSS 10.0 は深刻度の理論上限です。ただ、社内のシステム管理者にとって痛むのはサーバ1台の乗っ取りではなく、SharePoint に積み上がった数年分の契約書・人事・M&A; 資料が外部へ抜けた上で暗号化され、さらに同じ手で境界ファイアウォールが内側から無効化されて、流出と封鎖のどちらも止められない状態に置かれること です。
SharePointの脆弱性は何が危ないのか
CVE-2026-20963は「デシリアライゼーション」と呼ばれる種類の脆弱性です。
デシリアライゼーションとは、ネットワーク経由で受け取ったデータを元のオブジェクト(プログラムが扱えるデータの塊)に復元する処理のこと。SharePointサーバーがこの処理を行う際に、送られてきたデータが本当に安全かどうかを十分に検証していなかったのが今回の脆弱性です。
攻撃者がSharePointサーバーに細工したデータを送ると、サーバー側でそのデータが「復元」される際に悪意あるコードが実行されます。これにより、SharePointサーバー上で任意のプログラムをリモートから実行できてしまいます。
| 項目 | 内容 |
|---|---|
| CVSSスコア | 8.8(高) |
| 攻撃に認証は必要か | 必要(低権限のアカウント) |
| ユーザー操作 | 不要 |
| パッチ公開日 | 2026年1月13日 (January Patch Tuesday) |
| CISA期限 | 2026年3月21日(明日) |
Microsoftは1月のパッチ公開時に「悪用される可能性は低い」と評価していました。しかし2か月後の3月、実際に攻撃での悪用が確認され、CISAが緊急カタログに追加する事態になりました。
影響を受けるのはオンプレミスのSharePoint Server 2016、2019、Subscription Editionです。Microsoft 365のSharePoint Onlineは今回の対象外ですが、オンプレミスのSharePointを社内イントラネットとして運用している企業は多いはずです。
修正パッチの適用番号はKB5002828(SharePoint 2016)、KB5002825(SharePoint 2019)です。
Cisco FMCの脆弱性は「認証不要で乗っ取り」
CVE-2026-20131はさらに深刻です。CVSSスコアは10.0。10段階の最大値です。
Cisco Secure Firewall Management Center(FMC)は、企業のネットワークを守るCiscoファイアウォールの集中管理画面です。このFMCのWeb管理画面にJavaのシリアル化データ(0xAC ED 00 05で始まるバイト列)を送りつけるだけで、認証なしで管理サーバーのroot権限(最高権限)を奪取できます。
| 項目 | 内容 |
|---|---|
| CVSSスコア | 10.0(最大値) |
| 攻撃に認証は必要か | 不要 |
| ユーザー操作 | 不要 |
| 回避策 | なし(パッチ適用のみ) |
| パッチ公開日 | 2026年3月4日 |
| CISA期限 | 2026年4月9日 |
つまりこういうことです。ファイアウォールの管理画面がインターネットからアクセスできる状態にあれば、攻撃者はIDもパスワードも不要で、ファイアウォール全体を完全に掌握できます。ファイアウォールのルールを書き換えれば、守られているはずの社内ネットワークが丸裸になります。
Ciscoは回避策がないことを明言しています。パッチを当てるしか防御方法はありません。クラウド管理版のFMC(cdFMC)は影響を受けませんが、オンプレミスのFMCは全バージョンが対象です。
ランサムウェアグループが36日間、誰にも気づかれず悪用していた
Cisco FMCの脆弱性(CVE-2026-20131)には、さらに深刻な背景があります。The Hacker Newsの報道によると、Interlockと呼ばれるランサムウェアグループが、Ciscoがパッチを公開する36日前からこの脆弱性をゼロデイとして悪用していました。
| 日付 | 出来事 |
|---|---|
| 1月26日 | Interlockがゼロデイ悪用を開始 |
| 3月4日 | Ciscoが公式パッチを公開 |
| 3月19日 | CISAがKEVカタログに追加 |
Interlockは2024年9月から活動しているランサムウェアグループで、教育、医療、産業、政府機関を標的にしています。Amazonの脅威インテリジェンスチームがハニーポット(攻撃者を誘い込むための囮サーバー)で活動を検知し、Ciscoに情報を共有したことで全容が判明しました。
Interlockの攻撃は多段階で構成されています。
- 1. FMCの脆弱性でファイアウォール管理サーバーに侵入
- 2. カスタムバックドアとPowerShellスクリプトで社内ネットワークを偵察
- 3. リモートデスクトップツール(ConnectWise ScreenConnect)で持続的なアクセスを確保
- 4. データを抜き取った後、ランサムウェアを展開
ファイアウォールの管理サーバーから侵入するため、通常のセキュリティ監視では検知が極めて困難です。Security Affairsの報道によると、被害を受けた組織にはDaVita(腎臓透析の大手)、Kettering Health(医療ネットワーク)、Texas Tech University(テキサス工科大学)が含まれます。
2つのCVEを一目で比較する
| 比較項目 | SharePoint CVE-2026-20963 | Cisco FMC CVE-2026-20131 |
|---|---|---|
| CVSSスコア | 8.8 | 10.0(最大値) |
| 認証 | 低権限が必要 | 不要 |
| 脆弱性の種類 | デシリアライゼーション | デシリアライゼーション (Java) |
| 悪用の確認 | あり | あり(Interlockが 36日間ゼロデイ悪用) |
| 回避策 | — | なし |
| パッチ公開日 | 1月13日 | 3月4日 |
| CISA期限 | 3月21日(明日) | 4月9日 |
| 影響範囲 | SharePoint Server 2016 / 2019 / SE | オンプレミスFMC 全バージョン |
2つのCVEに共通しているのは、いずれも「デシリアライゼーション」という同じ種類の脆弱性であるという点です。データの復元処理で送信内容を十分に検証していないという、古くから知られた問題がエンタープライズ製品でもいまだに見つかり続けています。
日本企業への影響と確認すべきこと
SharePointもCisco Secure Firewallも、日本の企業・官公庁で広く使われている製品です。
SharePointは、社内ポータルやイントラネット、ドキュメント共有の基盤としてMicrosoft 365と合わせて導入している企業が多く、特にオンプレミス版のSharePoint Server 2016/2019はまだ現役で稼働している環境が少なくありません。今回の脆弱性はこのオンプレミス版が対象です。
Cisco FMCは、企業のネットワーク境界を守るファイアウォールの集中管理基盤です。日本のISP、データセンター、大企業のネットワークインフラで広く採用されています。
SharePoint 管理者がやるべきこと
Cisco FMC 管理者がやるべきこと
- 1. FMCのバージョンを確認する(FMC管理画面 → 「Help」→「About」で確認可能)
- 2. Ciscoアドバイザリの修正バージョンに更新する(バージョンにより7.0.9、7.2.11、7.4.6、7.6.5、7.7.12、10.0.1のいずれか)
- 3. FMC管理画面がインターネットに直接公開されていないか確認する。認証不要の脆弱性のため、公開されていれば即座に攻撃対象になる
- 4. パッチ未適用の期間(特に1月26日以降)にFMCへの不審なアクセスがなかったか、ログを確認する
続報:SharePointのCISA期限が超過、カナダ政府も警告
SharePoint CVE-2026-20963のCISA修正期限(3月21日)が超過しました。BOD 22-01に基づき、米国連邦政府機関はこの日までにパッチを適用する義務がありましたが、期限後も未パッチのシステムは引き続き攻撃対象となっています。
カナダのCCCS(Canadian Centre for Cyber Security)もアラートAL26-005を発行し、SharePointのパッチ適用を緊急で呼びかけています。
Microsoftは1月13日のPatch Tuesdayで修正パッチを公開した際、この脆弱性を「悪用される可能性は低い(Exploitation Less Likely)」と評価していました。しかし公開から2か月で実際の攻撃が確認され、CISAがKEVカタログに追加。当初のリスク評価が覆された形です。
日本企業でSharePoint Serverをオンプレミスで運用している場合、1月のセキュリティ更新プログラムが適用済みか今すぐ確認してください。SharePoint Onlineは影響を受けません。
パッチを当てる「だけ」では足りない
2つの脆弱性に共通する教訓は、パッチが公開されてから実際に攻撃に使われるまでの時間が短くなっているということです。SharePointはパッチ公開から2か月で悪用が確認され、Cisco FMCに至ってはパッチ公開の36日前から悪用されていました。
パッチを当てれば新しい攻撃は防げます。しかし、パッチが出る前にすでに侵入されていた場合はどうでしょうか。Cisco FMCの脆弱性は1月26日からゼロデイ悪用されていたことが分かっています。3月4日のパッチ適用で穴は塞がりますが、その36日間にバックドアが仕掛けられていれば、パッチ適用後も攻撃者はアクセスを維持できます。
城の門を修理しても、すでに中に忍者が潜んでいたら意味がない。パッチ適用とあわせて、侵害の痕跡(IoC)の確認とログの精査が必要です。
特にCisco FMCを運用している組織は、パッチ適用だけでなく、1月26日以降のFMCアクセスログに不審な接続がないかの確認を強く推奨します。
参照元
- ▸ CISA Known Exploited Vulnerabilities Catalog
- ▸ Cisco Security Advisory - cisco-sa-fmc-rce-NKhnULJh
- ▸ Help Net Security - CISA warns of active exploitation of Microsoft SharePoint vulnerability
- ▸ BleepingComputer - Critical Microsoft SharePoint flaw now exploited in attacks
- ▸ SecurityWeek - CISA Warns of Attacks Exploiting Recent SharePoint Vulnerability
- ▸ The Hacker News - Interlock Ransomware Exploits Cisco FMC Zero-Day
- ▸ Security Affairs - Interlock group exploiting Cisco FMC flaw 36 days before disclosure
- ▸ AWS Security Blog - Amazon identifies Interlock ransomware campaign targeting enterprise firewalls
- ▸ The Hacker News - CISA Warns of Zimbra, SharePoint Flaw Exploits; Cisco Zero-Day Hit in Ransomware Attacks
- ▸ CVEReports - CVE-2026-20963
- ▸ CVEReports - CVE-2026-20131