CVE-2026-56164|SharePoint 権限昇格の悪用確認と対処の手順

  • URLをコピーしました!
目次

はじめに

2026 年 7 月 14 日(米国時間)の月例セキュリティ更新プログラムで、Microsoft SharePoint Server の権限昇格脆弱性 CVE-2026-56164 が修正されました。本脆弱性は公開時点ですでに実際の攻撃での悪用が確認されており、同日付で CISA の Known Exploited Vulnerabilities(KEV)カタログに登録、しかも対応期限は登録からわずか 3 日後の 7 月 17 日という異例の短さで設定されています。

今月の月例更新では、悪用済みのゼロデイが 2 件修正されています。もう 1 件の AD FS の権限昇格脆弱性については、関連記事『CVE-2026-56155|AD FS 権限昇格の悪用確認と対処の手順』で解説していますので、AD FS を運用中の方はあわせて参照してください。

本脆弱性で注意したいのは、Microsoft の評価が CVSS 5.3(Moderate)にとどまる一方、NVD は 9.8(Critical)を付与しているという大幅なスコアの乖離です。「Moderate だから急がなくてよい」と判断すると、実態を見誤るおそれがあります。

この記事でわかること
  • CVE-2026-56164 の技術的な概要と、Microsoft・NVD 間のスコア乖離の読み解き方
  • CISA アラートが警告する攻撃チェーンでの本脆弱性の位置づけ
  • 影響を受ける SharePoint Server のバージョンと適用すべき KB
  • SharePoint Server 2016 / 2019 のサポート終了(2026 年 7 月 14 日)が持つ意味
  • AMSI 統合による緩和策の設定と、パッチ適用・侵害確認の手順

先に結論をまとめます。本脆弱性は認証不要・ネットワーク経由・ユーザー操作不要で悪用可能であり、悪用もすでに確認されています。オンプレミス SharePoint Server を運用している場合、深刻度レーティングにかかわらず、今月の SharePoint 向け更新プログラムを最優先で適用することを推奨します。また、SharePoint Server 2016 / 2019 は本パッチと同日にサポートが終了しており、今回が事実上の最終セキュリティ更新となる点にも注意が必要です。

CVE-2026-56164 の概要(SharePoint 権限昇格)

CVE-2026-56164 は、SharePoint Server における重要な機能に対する認証の欠如(CWE-306: Missing Authentication for Critical Function)に起因する権限昇格の脆弱性です。認証されていない攻撃者が、ネットワーク経由で権限を昇格できます。

参考: Microsoft Security Response Center(CVE-2026-56164)
“Missing authentication for critical function in Microsoft Office SharePoint”
(Microsoft Office SharePoint における重要な機能に対する認証の欠如)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56164

Microsoft のアドバイザリでは「悪用の事実を確認済み(Exploitation Detected)」かつ「実用的な悪用コードが存在(Exploit Code Maturity: Functional)」と評価されています。また FAQ では、本脆弱性がインターネットからリモートで悪用可能であり、攻撃者はシステムに関する事前知識をほとんど必要とせず、繰り返し悪用に成功できると明記されています。

発見者としては Mandiant Incident Response と Google Cloud FLARE チームがクレジットされています。前回の AD FS 記事の DART クレジットと同様、インシデント対応組織による発見は、実環境での攻撃調査の過程で本脆弱性が特定された可能性が高いことを示唆します。

CVSS スコアの乖離(Microsoft 5.3 と NVD 9.8)をどう読むか

本脆弱性には、評価元によって大きく異なる 2 つの CVSS スコアが存在します。

評価元スコア深刻度ベクター文字列
Microsoft(CNA)5.3ModerateCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
NVD(NIST)9.8CriticalCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

両者の前提条件(AV:N・AC:L・PR:N・UI:N)は一致しており、違いは悪用に成功した場合の影響評価にあります。Microsoft は本脆弱性単体の直接的な影響を「完全性への低い影響(I:L)」に限定して評価しているのに対し、NVD は機密性・完全性・可用性のすべてに高い影響(C:H / I:H / A:H)があると評価しています。

実務上の判断としては、「認証不要でネットワークから悪用でき、すでに悪用されている」という前提条件の部分を重視することを推奨します。単体での直接影響が限定的でも、後述するとおり本脆弱性は攻撃チェーンの起点(入口)として機能しており、チェーン全体としての実害は RCE や永続化にまで至っています。ベンダーの深刻度レーティングは重要な参考情報ですが、悪用状況と攻撃シナリオまで含めて優先度を判断することが、今回のようなケースでは特に重要です。

参考: Zero Day Initiative(The July 2026 Security Update Review)
“it shows why Moderate severity bugs still matter”
(これは Moderate 深刻度のバグが依然として重要である理由を示している)
https://www.zerodayinitiative.com/blog/2026/7/14/the-july-2026-security-update-review

CISA アラートが示す攻撃チェーンでの位置づけ

CISA はパッチ公開と同日、SharePoint Server への攻撃活動に関するアラートを公開しました。このアラートによると、本脆弱性は単独で使われているのではなく、既知の SharePoint 脆弱性 CVE-2026-32201(4 月修正)・CVE-2026-45659(5 月末に定例外で修正)と組み合わせた攻撃チェーンの一部として悪用されています。

参考: CISA(CISA Urges SharePoint Hardening After New Exploitations)
“stealing Internet Information Services (IIS) machine keys and performing deserialization techniques”
(IIS マシンキーの窃取とデシリアライゼーション手法の実行)
https://www.cisa.gov/news-events/alerts/2026/07/14/cisa-urges-sharepoint-hardening-after-new-exploitations

攻撃者はこれらの脆弱性を通じてリモートコード実行(RCE)を確立した後、IIS マシンキーを窃取し、デシリアライゼーション手法による永続化とマルウェア展開まで行っているとされます。マシンキーが窃取されると、パッチを適用しても攻撃者は署名済みの不正な ViewState ペイロードを作成し続けられるため、事後対応としてのキーローテーションが重要になります(具体的な手順は後述します)

この攻撃パターンは、2025 年に多数の未パッチサーバーが侵害された ToolShell 攻撃チェーン以降、SharePoint に対する定石として繰り返し観測されているものです。オンプレミス SharePoint Server、特にインターネットに公開された環境は、継続的に攻撃者の標的となっている前提で対応する必要があります。

影響を受けるバージョンと修正ビルド

CVE-2026-56164 の影響対象は、サポート中のオンプレミス SharePoint Server 全バージョン(Subscription Edition・2019・2016)です。修正は 2026 年 7 月 14 日公開のセキュリティ更新プログラムに含まれています。AD FS の脆弱性(CVE-2026-56155)と異なり AMSI による緩和策が提示されていますが(後述)、根本対処はパッチ適用です。

KB 番号・修正ビルド番号の一覧

MSRC のアドバイザリに記載された対象製品と KB 番号・修正ビルド番号を整理します。

対象製品KB 番号修正ビルド番号
SharePoint Server Subscription EditionKB500288216.0.19725.20434
SharePoint Server 2019KB500288316.0.10417.20175
SharePoint Enterprise Server 2016KB500289116.0.5561.1001

参考: Microsoft Security Update Guide(CVE-2026-56164 Security Updates)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56164

MSRC の FAQ では、SharePoint Server 2016 と SharePoint Enterprise Server 2016 のどちらを実行している場合でも、同一の KB が適用対象であることが明記されています。エディション表記の違いで適用対象外と誤判定しないよう注意してください。

適用後のビルド番号確認は、全体管理の「アップグレードと移行 → 製品および修正プログラムのインストール状態の確認」で行えます。ファーム内の各サーバー・各製品のバージョンと状態を一覧で確認できます。ファーム構成の場合は、全サーバーへの適用と SharePoint 製品構成ウィザード(psconfig)の実行完了までがワンセットです。

なお、今月の SharePoint 向け更新には本脆弱性のほかにも、認証不要でネットワークから悪用可能な Critical の RCE 2 件(CVE-2026-50522 / CVE-2026-58644、いずれも CVSS 9.8)や認証バイパス(CVE-2026-55040、CVSS 9.1)が含まれています。これらは同一の累積更新プログラムでまとめて修正されるため、「CVE-2026-56164 だけに対応する」のではなく「今月の SharePoint 更新を適用する」という捉え方で対応すれば漏れがありません。

SharePoint 2016 / 2019 は 2026 年 7 月 14 日でサポート終了(ESU なし)

本記事で特に強調したい点です。SharePoint Server 2016 および 2019 は、本パッチの公開日と同じ 2026 年 7 月 14 日に延長サポートが終了しました。つまり、今回のセキュリティ更新が両バージョンにとって事実上の最終パッチです。

参考: Microsoft Learn(Ending Support in 2026 – Microsoft Lifecycle)
“no new security updates, non-security updates, free or paid assisted support options”
(新規のセキュリティ更新・非セキュリティ更新・無償 / 有償サポートはいずれも提供されません)
https://learn.microsoft.com/en-us/lifecycle/end-of-support/end-of-support-2026

さらに重要なのは、Windows Server や SQL Server と異なり、SharePoint Server には有償の ESU(拡張セキュリティ更新プログラム)が用意されていないことです。2026 年 7 月 15 日以降に発見される脆弱性は、2016 / 2019 では永久に未修正のまま残ります。本脆弱性のようにサポート中の全バージョンが標的となる攻撃が現に続いている製品で、修正手段のないまま運用を続けることは、時間の経過とともにリスクが積み上がる一方です。

継続してセキュリティ更新を受け取るための選択肢は、オンプレミス継続なら SharePoint Server Subscription Edition への移行、そうでなければ SharePoint Online(Microsoft 365)への移行の実質 2 択です。2016 / 2019 を運用中の場合、今回のパッチ適用は「最後の猶予を確保する作業」と位置づけ、並行して移行計画を具体化することを強く推奨します。

CISA KEV 登録と対応期限(登録から 3 日)

米 CISA は本脆弱性を、パッチ公開と同日の 2026 年 7 月 14 日付で KEV カタログに登録しました。登録名は「Microsoft SharePoint Server Missing Authentication for Critical Function Vulnerability」で、対応期限(Due Date)は 2026 年 7 月 17 日、登録からわずか 3 日後です。

この 3 日という期限は、KEV の運用上でも最短クラスの設定です。比較として、同日に KEV 登録された AD FS の脆弱性(CVE-2026-56155)の期限は 14 日後の 7 月 28 日でした。BOD 26-04 のリスクベース優先順位付けにおいて、両者の扱いがどれほど異なるかがわかります。

  • CVE-2026-56155(AD FS): ローカル・要認証 → 期限 14 日
  • CVE-2026-56164(SharePoint): ネットワーク経由・認証不要・攻撃チェーンでの悪用が進行中 → 期限 3 日

参考: CISA(BOD 26-04: Prioritizing Security Updates Based on Risk)
“Remediate each vulnerability as quickly as possible”
(各脆弱性を可能な限り迅速に修正すること)
https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk

米連邦文民行政機関(FCEB)には期限内の対応が義務付けられますが、CISA は民間を含むすべての組織にも KEV 掲載脆弱性の優先修正を推奨しています。インターネットに公開された SharePoint Server は攻撃者が数時間単位でスキャンしている実態を踏まえると、日本国内の組織でも「3 日」という期限感覚は妥当な目安と考えられます。

KEV エントリの Required Action には、ベンダー指示に従った修正に加え、CISA の Forensics Triage Requirements への準拠、すなわちパッチ適用前の侵害有無の確認が含まれています。本脆弱性はすでに攻撃チェーンの一部として悪用されているため、この確認は形式的なものではありません。KEV 登録脆弱性への実務対応の流れは、関連記事『Cisco Unified CM の SSRF 脆弱性(CVE-2026-20230)への対処』も参照してください。

緩和策: AMSI 統合の有効化と Full モード設定

MSRC のアドバイザリでは、本脆弱性の緩和策として AMSI(Antimalware Scan Interface)統合の有効化が提示されています。AMSI 統合は、SharePoint のエンドポイントに到達する前の HTTP / HTTPS リクエストをアンチマルウェアエンジンでスキャンし、悪意のあるリクエストの処理を防ぐ仕組みです。パッチ未適用の期間を埋める防御層として機能しますが、あくまで緩和策であり、根本対処はセキュリティ更新プログラムの適用である点は変わりません。

参考: Microsoft Learn(Configure AMSI integration with SharePoint Server)
“designed to prevent malicious web requests from reaching SharePoint endpoints”
(悪意のある Web リクエストが SharePoint エンドポイントに到達するのを防ぐよう設計されています)
https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/configure-amsi-integration

AMSI 統合の前提条件と既定の状態

AMSI 統合の利用には、各 SharePoint サーバーで以下の前提条件を満たす必要があります。

  • Windows Server 2016 以降
  • SharePoint Server Subscription Edition Version 22H2 以降、SharePoint Server 2019 ビルド 16.0.10396.20000 以降、または SharePoint Server 2016 ビルド 16.0.5391.1000 以降
  • Microsoft Defender ウイルス対策(AV エンジン 1.1.18300.4 以降)、または AMSI 対応のサードパーティ製アンチマルウェア

なお、2023 年 9 月の更新以降 AMSI 統合は既定で有効化されており、さらに 2025 年 9 月の更新以降は必須コンポーネントとなり無効化できません。更新プログラムを継続適用している環境であれば、ヘッダースキャンはすでに動作している可能性が高いですが、過去に手動で無効化した経緯がないか、全体管理で状態を確認しておくことを推奨します。

Request Body Scan を Full モードに設定する(Subscription Edition)

MSRC が本脆弱性の緩和策として挙げているのは、AMSI スキャンの有効化に加えて Request Body Scan を Full モードに設定し、POST ボディのペイロードを検出可能にすることです。ここで重要な注意点があります。リクエストボディのスキャン機能は SharePoint Server Subscription Edition(Version 25H1 以降)でのみ利用可能で、2016 / 2019 で利用できるのはヘッダースキャンまでです。

Subscription Edition での設定手順(GUI)は以下のとおりです。

STEP

SharePoint サーバーの全体管理を開き、「セキュリティ」セクションから「AMSI Configuration」を選択します。

STEP

対象の Web アプリケーションを選択し、「Enable AMSI scan feature」を有効にします(HTTP リクエストヘッダーのスキャン)

STEP

Request Body Scan のモードとして「Full Mode」を選択します。Full Mode は、明示的に除外したエンドポイントを除くすべてのエンドポイントでリクエストボディをスキャンします。

    PowerShell で設定する場合は以下のとおりです。

    $webApp = Get-SPWebApplication -Identity "https://<Web アプリケーションの URL>"
    $webApp.AMSIBodyScanMode = 2  # 0 = Off、1 = Balanced、2 = Full
    $webApp.Update()

    モード切り替え後は、IIS の再起動またはアプリケーションプールのリサイクルが必要になる場合があります。また、AMSI の設定は Web アプリケーションごとに独立しているため、複数の Web アプリケーションを運用している場合はそれぞれで設定が必要です。

    2016 / 2019 の環境では、ヘッダースキャンによる保護(本攻撃キャンペーンでは Exploit:Script/ToolPaneAuthBypass.A シグネチャが対応)は機能しますが、POST ボディを使う攻撃パターンの検出(Exploit:Script/SuspSignoutReqBody.A)は Subscription Edition 限定です。緩和策のカバレッジという観点でも、サポートが終了した 2016 / 2019 と Subscription Edition の間にはすでに差が生じていることになります。

    AMSI の動作確認とパフォーマンスの注意点

    AMSI 統合が機能しているかは、EICAR 類似のテスト文字列を使って確認できます。Microsoft Defender を使用している環境で、以下のようなリクエストを送信します。

    Invoke-WebRequest -Uri "https://<サーバー名>/sites/<サイト名>?amsiscantest:x5opap4pzx54p7cc7`$eicar-standard-antivirus-test-fileh+h*" -Method GET

    AMSI 統合が正常に動作していれば、このリクエストは Exploit:Script/SharePointEicar.A として検出・ブロックされます。テスト文字列自体に危険性はありません。

    パフォーマンスについては、AMSI スキャンが CPU リソースを消費するため Web アプリケーションへの影響が生じ得ますが、Microsoft Defender との組み合わせで顕著な性能影響は観測されていないとされています。Full Mode はスキャン範囲が最も広いため、適用後はリソース使用率の推移を監視し、必要に応じて除外エンドポイントの調整を検討するとよいでしょう。あわせて、シグネチャベースの防御である以上、Defender の定義ファイルを最新に保つことMpCmdRun.exe -SignatureUpdate での手動更新も可能)が前提となります。

    パッチ適用と侵害有無の確認

    セキュリティ更新プログラムの適用と適用後の確認

    SharePoint のセキュリティ更新は累積型です。ファーム内の全サーバーに該当 KB(Subscription Edition: KB5002882、2019: KB5002883、2016: KB5002891)をインストールし、その後 SharePoint 製品構成ウィザード(psconfig)を実行して build-to-build アップグレードを完了させるまでがワンセットです。構成ウィザードの実行中はファームが利用できなくなるため、業務影響を踏まえたメンテナンス時間の確保を推奨します。

    適用後の確認は、全体管理の「アップグレードと移行 → 製品および修正プログラムのインストール状態の確認」で、各サーバーのバージョンが上記の修正ビルド番号以上になっていることを確認します。アップグレード状態は「アップグレードの状態の確認」で各サーバーの成功を確認できます。

    侵害有無の確認(パッチ適用前)

    本脆弱性は認証不要でネットワークから悪用可能であり、攻撃チェーンの一部としてすでに悪用されています。KEV の Required Action にもフォレンジックトリアージへの準拠が含まれるとおり、パッチ適用前に侵害の有無を確認することを推奨します。CISA のアラートを踏まえた確認ポイントは以下のとおりです。

    不審なリクエストの確認

    IIS ログで、異常な POST リクエストや通常の運用パターンから外れたアクセス元がないかを確認します。

    Web シェルの探索

    SharePoint のディレクトリ(LAYOUTS 配下等)に心当たりのない .aspx ファイルが作成されていないかを確認します。

    Defender アラートの確認

    本キャンペーンに関連する検出名(Exploit:Script/ToolPaneAuthBypass.A / .CExploit:Script/SuspSignoutReqBody.ABackdoor:MSIL/LeakFang.A!dha)のアラート履歴を確認します。特に LeakFang は IIS で保護されたシークレットに関わる侵害後活動の検出名です。

    SharePoint ワーカープロセスの挙動

    w3wp.exe からの不審な子プロセス起動など、ワーカープロセスの異常な活動がないかを確認します。

      侵害の兆候が確認された場合は、パッチ適用だけで済ませず、組織のインシデント対応プロセスに移行してください。CISA は、マシンキーのローテーションを行う前に、キー窃取ツールを含む侵害痕跡のハンティングと排除を行うよう明記しています。攻撃者が環境内に残ったままキーを更新しても、再び窃取されるためです。

      なお、CISA はハードニング策として、SharePoint Server を直接インターネットに公開しないこと、公開が必要な場合は認証機能を持つ L7 リバースプロキシ等の保護層を経由させること、サーバーの全体管理への外部アクセスをブロックすることも推奨しています。WAF による保護レイヤーの考え方は、関連記事『WAF の仕組みと導入のポイント』を参照してください。

      IIS マシンキーのローテーション

      本攻撃キャンペーンでは IIS マシンキー(ASP.NET の ViewState 検証・復号キー)の窃取が確認されています。窃取されたキーはパッチ適用後も有効なため、侵害が疑われる環境、および長期間パッチ未適用でインターネットに公開されていた環境では、パッチ適用後にマシンキーのローテーションを実施することを推奨します。手順は 2025 年の ToolShell 対応時に Microsoft が示したガイダンスと同じ流れです。

      PowerShell での手順は以下のとおりです。

      # 新しいマシンキーの生成と設定(Web アプリケーションごと)
      Set-SPMachineKey -WebApplication "https://<Web アプリケーションの URL>"
      
      # ファーム内の全サーバーへのキー展開
      Update-SPMachineKey -WebApplication "https://<Web アプリケーションの URL>"

      参考: Microsoft Learn(Improved ASP.NET view state security and key management)
      “Deploys ASP.NET view state decryption and validation keys to servers in the farm”
      (ASP.NET ViewState の復号キーと検証キーをファーム内のサーバーに展開します)
      https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/improved-asp-net-view-state-security-key-management

      全体管理から実行する場合は、「監視 → タイマージョブ定義の確認」で「Machine Key Rotation Job」を検索し、「今すぐ実行」を選択します。いずれの方法でも、ローテーション完了後にファーム内の全 SharePoint サーバーで iisreset を実行して新しいキーを反映させます。

      なお、Subscription Edition Version 25H1 および 2016 / 2019 の 2025 年 9 月更新以降では、タイマージョブによるマシンキーの自動ローテーション機能が導入されています(既定で毎週日曜に実行)。定期的なキー更新は今回のようなキー窃取型攻撃の影響を限定する効果があるため、パッチ適用と合わせて有効化状態を確認しておくとよいでしょう。

      まとめ

      CVE-2026-56164 は、悪用が確認された SharePoint Server の権限昇格脆弱性であり、CISA KEV にも登録された緊急度の高い脆弱性です。Microsoft と NVD のスコア評価は大きく異なりますが、認証不要・ネットワーク経由で悪用可能という前提条件を重視した対応が求められます。

      • 認証不要・ネットワーク経由で悪用可能、悪用確認済みのゼロデイ
      • Microsoft は CVSS 5.3(Moderate)、NVD は 9.8(Critical)と評価が乖離
      • CISA KEV 登録、対応期限は登録から 3 日後の 2026 年 7 月 17 日
      • 対象は Subscription Edition / 2019 / 2016 の全サポートバージョン
      • SharePoint 2016 / 2019 は本パッチと同日にサポート終了(ESU なし)
      • AMSI 統合(Full モードは Subscription Edition 限定)による緩和策を提供
      • 侵害確認とマシンキーローテーションまで含めた事後対応を推奨

      以上、最後までお読みいただきありがとうございました。

      よかったらシェアしてね!
      • URLをコピーしました!

      この記事を書いた人

      関西を拠点に活動する、現役インフラエンジニア。経験20年超。

      大手通信キャリアにて、中〜大規模インフラ(ネットワーク・サーバ・クラウド・セキュリティ)の設計・構築およびプロジェクトマネジメントに従事。現場で直面した技術課題への対処や、最新の脆弱性情報への実務対応を、一次情報として発信しています。

      保有資格
      CCIE Lifetime Emeritus(取得から20年以上)/ VCAP-DCA / Azure Solutions Architect Expert

      ▶ 運営者プロフィール(詳細)

      目次