社内向け「SharePoint Server」に乗っ取りの脆弱性 CVE-2026-45659、悪用が始まりCISAが警告、オンプレ版は今すぐ更新を
企業の社内ポータルとして広く使われるMicrosoftの「SharePoint Server(オンプレミス版)」に、権限の低い利用者でもサーバー上で不正なプログラムを実行できる脆弱性CVE-2026-45659が見つかりました。米CISAが悪用を確認。2016/2019/サブスクリプション版が対象で、クラウドのSharePoint Onlineは対象外。修正は公開済みで、未適用のサーバーは今すぐ更新が必要です。
目次
企業の社内ポータルとして広く使われるMicrosoftの「SharePoint Server(オンプレミス版)」に、権限の低い利用者でもサーバー上で不正なプログラムを実行できる脆弱性CVE-2026-45659が見つかりました。米CISAが悪用を確認。2016/2019/サブスクリプション版が対象で、クラウドのSharePoint Onlineは対象外。修正は公開済みで、未適用のサーバーは今すぐ更新が必要です。
企業の社内ポータルや文書共有に広く使われるMicrosoftの「SharePoint Server(シェアポイント サーバー)」に、サーバー上で不正なプログラムを実行される脆弱性が見つかりました。管理番号はCVE-2026-45659、危険度は10点満点中8.8点(重要度「高」)です。Microsoftは2026年5月に修正を公開していましたが、その後この脆弱性を狙う実際の攻撃が確認され、米政府機関CISAが「悪用中の脆弱性リスト(KEV)」に追加しました。
対象は自社で運用するオンプレミス版のSharePoint Server(2016/2019/サブスクリプション版)です。クラウド版のSharePoint Online(Microsoft 365)は影響を受けません。修正はすでに配布されているため、まだ適用していないサーバーは今すぐ更新が必要です。悪用が始まった以上、「後で」は通用しません。
| 項目 | 内容 |
|---|---|
| 管理番号 | CVE-2026-45659 |
| 対象ソフト | SharePoint Server (オンプレミス版) |
| 対象外 | SharePoint Online (Microsoft 365) |
| 影響を受ける版 | 2016 / 2019 / サブスクリプション版 |
| 危険度 | CVSS 8.8 / 10(重要度「高」) |
| 脆弱性の種類 | 安全でない復元処理 (CWE-502) |
| ログインの要否 | 必要(権限の低い 利用者アカウントで可) |
| 悪用の確認 | あり(CISA KEV登録済み) |
| 修正 | 2026年5月の月例更新で公開済み |
誰が、何のために狙うのか
この脆弱性を突けるのは、外部から誰でも、ではありません。狙うのは対象のSharePointに何らかの形でログインできる、権限の低い利用者アカウントを持つ人物、あるいはそのアカウントを盗み出した攻撃者です。危険度の内訳でも「サイトメンバー(最低限の閲覧・投稿ができる一般利用者)程度の権限があれば成立する」とされており、管理者権限は不要です。一般社員のアカウント、退職者の残存アカウント、フィッシングで盗まれたログイン情報などが入口になります。
その人物ができてしまうのは、細工したデータをSharePointに送り込み、サーバー上で自分のプログラムを実行してサーバーごと乗っ取ることです。本来は文書を読み書きする程度の権限しかない利用者が、SharePointが動くサーバーの支配権を握れてしまいます。
SharePointサーバーを乗っ取られると、被害は文書だけでは終わりません。社内の機密文書や個人情報、SharePointが連携する他システムへの接続情報が抜き取られ、そこを足がかりに社内ネットワークの奥深くへ侵入されます。実際、オンプレミス版のSharePointは近年ランサムウェア攻撃の主要な侵入口になっており、乗っ取りは組織全体の被害に直結します。だからこそ、後述する更新を最優先で進める必要があります。
SharePoint Serverとは何か、クラウド版との違い
SharePointは、社内の文書共有、ポータルサイト、業務アプリの土台として使われるMicrosoftの製品です。ファイルの保管・共有、申請フローやチームサイトの構築などに使われ、多くの企業や官公庁が導入しています。
ここで重要なのが、SharePointには大きく2種類ある点です。自社のサーバーに設置して運用する「SharePoint Server(オンプレミス版)」と、Microsoftのクラウド上で使う「SharePoint Online(Microsoft 365に含まれる)」です。今回のCVE-2026-45659が影響するのは前者のオンプレミス版だけで、クラウドのSharePoint Onlineは対象外です。自社でSharePointのサーバーを立てて運用しているか、それともMicrosoft 365経由でクラウドを使っているかで、対応の要否が分かれます。まずは自分の組織がどちらかを確認してください。
オンプレミス版のSharePointは、更新を管理者が自分で適用しなければならず、しかも業務の中心にあるため止めにくく、パッチの適用が後回しになりがちです。この「更新の遅れやすさ」が、攻撃者に狙われ続ける大きな理由になっています。
何が起きるのか、脆弱性の中身
原因は、SharePointが受け取ったデータを無防備に「復元」してしまう点にあります。プログラムの世界では、データを保存・送信するためにいったん固めた形から元の形に戻す処理(デシリアライズ)がよく使われます。この戻す処理に、送られてきた中身を信用しすぎる実装があると、攻撃者が細工したデータを使って任意のプログラムを実行できてしまいます。今回はこの「信頼できないデータの復元」(CWE-502)が突かれました。
攻撃者は、ログインした状態で細工したデータをSharePointに送り込み、サーバー側がそれを復元する瞬間に、自分の用意したプログラムを走らせます。実行はSharePointサービスの権限で行われるため、そのサーバーが扱う文書やデータ、連携先の認証情報まで攻撃者の手が届きます。Microsoftのセキュリティアドバイザリによると、必要なのは「サイトメンバー」程度の低い権限です。
ここで注意したいのは、一部の報道が本件を「認証不要(無認証)でCVSS 9.8」と伝えている点です。これは正確ではありません。NVD(米国立標準技術研究所の脆弱性データベース)の評価はCVSS 8.8で、悪用には低権限のログインが必要です。とはいえ、大きな組織ほどSharePointに何らかのアカウントを持つ人は多く、フィッシングで一つ盗めば足りるため、「ログインが要るから安全」とは到底言えません。
悪用はどうなっているのか
この脆弱性の危険度を一段引き上げているのが、実際の攻撃がすでに始まっているという事実です。Microsoftは2026年5月の月例更新(Patch Tuesday)で修正を公開しましたが、当初は悪用は確認されていませんでした。その後、この脆弱性を突く攻撃が観測され、米政府機関CISAが「実際に攻撃されている脆弱性リスト(KEV)」へ追加しました。KEVは、攻撃が現実に起きていると確認されたものだけが載るリストです。
「5月にとっくに修正が出ているのに、今さら?」と思うかもしれません。しかし現実には、修正が公開されても適用されないまま放置されたオンプレミス版SharePointは数多く残っており、攻撃者はまさにそこを狙います。修正が出てから時間が経ってから悪用が本格化するのは、SharePointでは繰り返されてきたパターンです。日本語で追える悪用状況はCISA KEV ダッシュボード(日本語版)にまとめています。
自分の組織は対象か、対応の早見表
まず、自社でSharePointのサーバーを運用しているか(オンプレミス版か)を確認してください。Microsoft 365経由のSharePoint Onlineだけを使っているなら、この脆弱性の対応は不要です。オンプレミス版なら、以下の版が対象です。
| 製品 | 修正済みビルド(これ以降) | 対応 |
|---|---|---|
| SharePoint 2016 | 16.0.5552.1002 | 今すぐ更新 |
| SharePoint 2019 | 16.0.10417.20128 | 今すぐ更新 |
| サブスクリプション版 | 16.0.19725.20280 | 今すぐ更新 |
| SharePoint Online | ― | 影響なし(対応不要) |
修正は2026年5月の月例更新に含まれており、Microsoftは各版向けの更新プログラム(KB5002863・KB5002868・KB5002870など)を配布しています。どの版にどのKBを当てるかはMicrosoftの公式ページで確認してください。
背景、なぜオンプレSharePointは狙われ続けるのか
今回のCVE-2026-45659は、単発の事故ではありません。オンプレミス版のSharePointは、「信頼できないデータの復元」による乗っ取り(CWE-502)が繰り返し見つかり、実際に大規模な攻撃に使われてきた製品です。2025年には「ToolShell」と呼ばれる一連のSharePoint脆弱性が世界中で大量に悪用され、多数の組織のサーバーが乗っ取られました。今回も同じ「復元処理の穴」という系譜に連なります。
なぜ繰り返されるのか。背景には2つの構造があります。ひとつは技術面で、SharePointが内部で多用する「データの復元処理」が、細工された入力に対して弱点になりやすいこと。もうひとつは運用面で、オンプレミス版は更新を各組織が手作業で適用する必要があり、業務停止を避けたい事情からパッチが遅れがちなことです。攻撃者から見れば、社内の中枢に置かれ、価値の高い文書が集まり、しかも更新が遅れやすいSharePointは、費用対効果の高い標的です。
実務的な結論はシンプルです。オンプレミス版SharePointは「いつ狙われてもおかしくない資産」として扱い、月例更新を遅滞なく適用する体制を作ること。そして長期的には、更新をMicrosoftが担うクラウド版(SharePoint Online)への移行も、選択肢として検討する価値があります。
いま何をすべきか
最優先は、オンプレミス版SharePointに2026年5月以降の月例更新(該当KB)を適用することです。すでに悪用が確認されている以上、検証を理由に先送りにする余裕はありません。可能な限り早く、対象サーバーすべてに適用してください。
更新に加えて、次の点も確認しておくと安全です。まず、SharePointサーバーのアンチマルウェア連携(AMSI)が有効になっているかを確認すること。Microsoftは復元処理を悪用する攻撃への防御としてAMSIの有効化を推奨しています。次に、すでに侵入されていないかの点検です。見慣れないファイル(特にaspxなどのWebページ部品)、身に覚えのない管理者アカウントやプロセス、不審な通信がないかを確認し、疑わしければ認証情報の入れ替えと詳しい調査を行ってください。悪用が始まっている脆弱性では、「更新したから安心」ではなく「すでに入られていないか」まで踏み込むことが重要です。
まとめ
CVE-2026-45659は、オンプレミス版のSharePoint Serverで、低い権限の利用者アカウントからサーバーを乗っ取れる脆弱性です。危険度はCVSS 8.8で、無認証ではありませんが、すでに実際の攻撃が確認されCISAのKEVに登録されています。対象は2016/2019/サブスクリプション版で、クラウドのSharePoint Onlineは影響を受けません。修正は2026年5月に公開済みです。
オンプレミス版SharePointは、復元処理の穴による乗っ取りが繰り返され、更新の遅れを突かれ続けてきた製品です。「修正は出ているが未適用」の状態こそが最大のリスクです。まずは自社がオンプレミス版を使っているかを確認し、使っているなら該当の月例更新を今すぐ適用してください。あわせて、すでに侵入されていないかの点検も忘れずに。
参照元
- ▸NVD - CVE-2026-45659 Detail(米国立標準技術研究所)
- ▸Microsoft Security Response Center - CVE-2026-45659(公式・修正KB)
- ▸CISA - Known Exploited Vulnerabilities Catalog(KEV)
- ▸The Hacker News - Microsoft Patches SharePoint RCE Flaw CVE-2026-45659
- ▸Help Net Security - SharePoint RCE bug patched by Microsoft
- ▸関連記事:SharePointとCiscoの緊急脆弱性まとめ(当サイト)

堀川 慎
Backend Engineer / AWS / Django / Go