CVE-2026-58644|SharePoint デシリアライゼーション RCE の悪用格上げと対処

  • URLをコピーしました!
目次

はじめに

2026 年 7 月 14 日(米国時間)の月例セキュリティ更新プログラムで、Microsoft SharePoint Server のリモートコード実行(RCE)脆弱性 CVE-2026-58644 が修正されました。注目すべきは、この脆弱性が公開時点では悪用未確認とされていたにもかかわらず、翌 7 月 15 日にアドバイザリが改訂され、悪用の事実を確認済み(Exploited: Yes)へと格上げされた点です。深刻度は CVSS 9.8(Critical)です。

本脆弱性は、同じ 7 月の月例更新で修正された一連の SharePoint 脆弱性による攻撃キャンペーンの一部です。認証不要の権限昇格脆弱性については、関連記事『CVE-2026-56164|SharePoint 権限昇格の悪用確認と対処の手順』で解説していますので、あわせて参照してください。本記事では、後から悪用確認へ格上げされた CVE-2026-58644 に焦点を当てます。

この記事でわかること
  • CVE-2026-58644 の技術的な概要と、デシリアライゼーション RCE(CWE-502)の性質
  • 「悪用なし」から「悪用確認」へ格上げされた経緯と、その実務的な意味
  • ペアの脆弱性 CVE-2026-50522 と Pwn2Own での実証という背景
  • 影響を受ける SharePoint Server のバージョンと適用すべき KB
  • CISA KEV 登録の内容と対応期限(2026 年 7 月 19 日)、および侵害確認のポイント

先に結論をまとめます。本脆弱性は悪用にサイト所有者以上の認証を要するものの、RCE であり、公開後に悪用確認へ格上げされました。同月の認証不要な脆弱性と組み合わされる攻撃チェーンを踏まえると、「認証が必要だから優先度が低い」とは判断しにくい状況です。オンプレミス SharePoint Server を運用している場合、今月の SharePoint 向け更新プログラムをまとめて適用することを推奨します。

CVE-2026-58644 の概要(SharePoint デシリアライゼーション RCE)

CVE-2026-58644 は、SharePoint Server における信頼できないデータのデシリアライゼーション(CWE-502: Deserialization of Untrusted Data)に起因する RCE 脆弱性です。認証を得た攻撃者が、細工したデータを SharePoint Server にデシリアライズさせることで、リモートから任意のコードを実行できます。

参考: Microsoft Security Response Center(CVE-2026-58644)
“Deserialization of untrusted data in Microsoft Office SharePoint allows an unauthorized attacker to execute code over a network.”
(Microsoft Office SharePoint における信頼できないデータのデシリアライゼーションにより、攻撃者がネットワーク経由でコードを実行可能になります)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-58644

CVSS 3.1 のベーススコアは 9.8、ベクター文字列は CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H です。ネットワーク経由(AV:N)・低い攻撃複雑性(AC:L)・ユーザー操作不要(UI:N)で、悪用に成功すると機密性・完全性・可用性のすべてに高い影響が及びます。

CWE-502 デシリアライゼーション RCE とは何か

デシリアライゼーションとは、バイト列やファイルとして保存・転送されたデータを、プログラムが扱えるオブジェクトへ復元する処理です。この処理で入力データを十分に検証しないと、攻撃者が細工した「悪意のあるオブジェクト」を復元させることで、意図しないコード実行を引き起こせます。これが CWE-502 に分類されるデシリアライゼーション脆弱性です。

SharePoint は ASP.NET 上で動作し、ViewState をはじめ多くの場面でシリアライズされたデータを扱います。この点は、CISA が警告する SharePoint 攻撃キャンペーンの手口と密接に関係します。攻撃者は IIS のマシンキー(ViewState の検証・復号キー)を窃取し、正規に署名された不正な ViewState ペイロードを生成してデシリアライゼーションによる RCE を成立させます。つまり本脆弱性のクラスは、マシンキー窃取を起点とした永続化・コード実行という攻撃チェーンと同じ技術的基盤の上にあります。

参考: CISA(CISA Urges SharePoint Hardening After New Exploitations)
“performing deserialization techniques, to gain persistence and deploy malware”
(永続化とマルウェア展開のためにデシリアライゼーション手法を実行する)
https://www.cisa.gov/news-events/alerts/2026/07/14/cisa-urges-sharepoint-hardening-after-new-exploitations

このため、本脆弱性への対処はパッチ適用だけで完結せず、マシンキーの窃取有無の確認とローテーションまで含めて検討する必要があります。具体的な手順は後述し、詳細は関連記事のマシンキーローテーションの節に集約しています。

攻撃の前提条件(サイト所有者以上の認証)をどう捉えるか

本脆弱性の悪用には前提条件があります。MSRC の FAQ では、ネットワークベースの攻撃において、攻撃者はサイト所有者以上の権限で認証を取得している必要があると明記されています。

参考: Microsoft Security Response Center(CVE-2026-58644 FAQ)
“an attacker would need to be authenticated with Site Owner or higher permissions”
(攻撃者はサイト所有者以上の権限で認証されている必要があります)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-58644

一見すると「認証が必要なら悪用のハードルは高い」と捉えたくなります。しかし、これは NVD の説明文(unauthorized attacker)と MSRC の FAQ の間で表現に幅があり、実態としては攻撃チェーンの中で評価すべき条件です。同月に修正された認証不要の脆弱性(CVE-2026-56164 等)で足がかりを得た攻撃者が、次の段階で本脆弱性を用いて RCE に至るという連鎖を想定すると、「認証必須」は必ずしも安全余裕を意味しません。実際に CISA は、複数の SharePoint 脆弱性が組み合わされて RCE と永続化に至る攻撃活動を警告しています。単体の前提条件だけでリスクを見積もらず、攻撃チェーン全体で優先度を判断することを推奨します。

「悪用なし」から「悪用確認」への格上げの経緯

本脆弱性を理解する上で重要なのが、公開後に悪用状況の評価が変わったという経緯です。速報記事の多くは初報時点の分類のまま更新されないため、この時系列を正確に押さえておくことが実務判断に役立ちます。

アドバイザリ改訂(7 月 15 日)と 6 月からの掲載漏れ

CVE-2026-58644 は、2026 年 7 月 14 日の公開当初は悪用が確認されていない脆弱性として扱われていました。実際、CISA が同日に公開した SharePoint 関連のアラートでも、本脆弱性は「悪用は確認されていないが、未修正の場合にリスクをもたらす脆弱性」として、CVE-2026-55040 とともに区分されていました。

状況が変わったのは翌 7 月 15 日です。Microsoft はアドバイザリを改訂し、悪用可能性の評価・Exploited フラグ・CVSS ベクターを修正しました。この改訂により、本脆弱性は悪用の事実を確認済み(Exploitation Detected)へと引き上げられました。

参考: Microsoft Security Response Center(CVE-2026-58644 更新履歴)
“Corrected the Exploitability Index, Exploited flag and CVSS vector which was incorrect at the time of publication”
(公開時点で誤っていた悪用可能性指標・Exploited フラグ・CVSS ベクターを修正しました)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-58644

さらに、この脆弱性には修正プログラムの管理面でも経緯があります。更新履歴によると、本脆弱性のパッチ自体は以前にリリースされていたものの、CVE が意図せず月例更新のリリース情報から漏れていたとされています。結果として、パッチは存在するが CVE としての可視性が低い状態が一時的に生じていたことになります。こうした経緯は、CVE 番号だけを追う運用では見落としが生じ得ることを示しています。

CVE-2026-50522 とのペア関係と Pwn2Own での実証

本脆弱性は、同じくデシリアライゼーションに起因する RCE 脆弱性 CVE-2026-50522 とペアの関係にあります。両者はいずれも CVSS 9.8 で、認証やユーザー操作なしに到達可能な SharePoint の RCE として、Zero Day Initiative(ZDI)が対で言及しています。

特に注目すべきは、ペアの CVE-2026-50522 が Pwn2Own Berlin で実証されていたにもかかわらず、Microsoft が当初「Exploit Maturity Unknown(悪用成熟度不明)」と評価していた点です。ZDI は、動作する実証コードを Microsoft に直接提供していたにもかかわらずこの評価だったことに触れ、ベンダーの評価をそのまま受け入れず自組織でリスク評価を行う必要性を指摘しています。

参考: Zero Day Initiative(The July 2026 Security Update Review)
“Just another reason to do your own risk assessment and not rely 100% on the vendor”
(ベンダーに全面的に依存せず、自らリスク評価を行うべきもう 1 つの理由です)
https://www.zerodayinitiative.com/blog/2026/7/14/the-july-2026-security-update-review

前回の CVE-2026-56164 記事では「Microsoft 5.3 と NVD 9.8 のスコア乖離」を取り上げましたが、本脆弱性の「悪用評価の後日格上げ」と「Pwn2Own 実証済みなのに成熟度不明」という事例も、同じ教訓を別の角度から示しています。ベンダーの初期評価は変わり得るものとして扱い、悪用状況は継続的に確認するという姿勢が、SharePoint のようにインターネット公開されやすい製品では特に重要です。

影響を受けるバージョンと修正ビルド

CVE-2026-58644 の影響対象は、サポート中のオンプレミス SharePoint Server 全バージョン(Subscription Edition・2019・2016)です。修正は 2026 年 7 月 14 日公開のセキュリティ更新プログラムに含まれています。

KB 番号・修正ビルド番号の一覧

MSRC のアドバイザリに記載された対象製品と KB 番号・修正ビルド番号を整理します。

対象製品KB 番号修正ビルド番号
SharePoint Server Subscription EditionKB500287316.0.19725.20384
SharePoint Server 2019KB500287416.0.10417.20153
SharePoint Enterprise Server 2016KB500288016.0.5556.1005

参考: Microsoft Security Update Guide(CVE-2026-58644 Security Updates)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-58644

前回の権限昇格脆弱性(CVE-2026-56164)とは KB 番号・ビルド番号が異なる点に注意してください。両脆弱性は同じ 7 月の SharePoint 累積更新でまとめて修正されるため、個別の KB を追うのではなく、今月の SharePoint 向け累積セキュリティ更新を適用するという捉え方が確実です。SharePoint の更新は累積型のため、最新の更新を適用すれば過去の修正も含まれます。

MSRC の FAQ では、SharePoint Server 2016 と SharePoint Enterprise Server 2016 のどちらを実行している場合でも同一の KB が適用対象であることが明記されています。この点は前回記事と同様です。

バージョン確認コマンドと適用確認

適用状況の確認は、SharePoint 管理シェルまたは全体管理で行えます。まず、ファーム内の各サーバーのバージョンを一覧で確認するには、SharePoint 管理シェルで以下を実行します。

Get-SPServer | Select-Object Address, Role, Version

各サーバーのアドレス・役割・バージョンが一覧表示されます。マルチサーバーファームでは、すべてのサーバーが同一バージョンになっているかの確認に有用です。

ここで注意点があります。ファーム全体のビルドバージョン((Get-SPFarm).BuildVersion や全体管理の「サーバーの管理」に表示される構成データベースのバージョン)は、データベーススキーマの変更を伴うパッチでのみ更新されるため、これだけでは特定の累積更新が適用済みかを正確に判定できない場合があります。パッチ適用状況を確実に確認するには、全体管理の「アップグレードと移行 → 製品および修正プログラムのインストール状態の確認」で、各サーバー・各コンポーネントの状態とバージョンを確認する方法を推奨します。

パッチ適用のワークフロー自体(全サーバーへの KB インストール + 製品構成ウィザードの実行)は前回記事と共通のため、詳細は関連記事『CVE-2026-56164|SharePoint 権限昇格の悪用確認と対処の手順』の適用手順の節を参照してください。

CISA KEV 登録と対応期限(7 月 19 日)

米 CISA は本脆弱性を、悪用確認への格上げを受けて 2026 年 7 月 16 日付で Known Exploited Vulnerabilities(KEV)カタログに登録しました。対応期限(Due Date)は 7 月 19 日で、登録から 3 日という短い設定です。

ここで、同じ 7 月の SharePoint 関連脆弱性の KEV 登録日を並べると、対応が段階的に動いてきた経緯が見えてきます。

  • CVE-2026-56164(権限昇格): 7 月 14 日登録・期限 7 月 17 日
  • CVE-2026-58644(本脆弱性・RCE): 7 月 16 日登録・期限 7 月 19 日

本脆弱性は当初 KEV に含まれていませんでしたが、悪用確認への格上げに連動して追加されました。KEV カタログは実際に悪用が確認された脆弱性のみを収録するため、追加されたこと自体が悪用の裏付けとなります。前セクションで触れた「評価は後日変わり得る」という点が、KEV 登録という形でも表れています。

参考: CISA(BOD 26-04: Prioritizing Security Updates Based on Risk)
“Remediate each vulnerability as quickly as possible”
(各脆弱性を可能な限り迅速に修正すること)
https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk

米連邦文民行政機関(FCEB)には期限内の対応が義務付けられますが、CISA は民間を含むすべての組織にも KEV 掲載脆弱性の優先修正を推奨しています。Shadowserver の観測では、インターネットに公開された SharePoint サーバーは世界で約 1 万台にのぼり、関連する SharePoint 脆弱性で未修正のまま残るものも相当数あるとされます。インターネット公開環境を運用している場合、KEV 対応の関連事例として、関連記事『Cisco Unified CM の SSRF 脆弱性(CVE-2026-20230)への対処』の対応の流れも参考になります。

対処と侵害有無の確認

パッチ適用(今月の SharePoint 累積更新)

本脆弱性の根本対処は、今月の SharePoint 向けセキュリティ更新プログラムの適用です。SharePoint の更新は累積型のため、前セクションで示した KB を含む最新の累積更新をファーム内の全サーバーに適用し、SharePoint 製品構成ウィザード(psconfig)を実行して build-to-build アップグレードを完了させます。

本脆弱性は、権限昇格の CVE-2026-56164 や RCE ペアの CVE-2026-50522 と同じ 7 月の累積更新でまとめて修正されます。個別の CVE ごとに対応するのではなく、今月の SharePoint 更新を適用することで一括して対処できるため、まだ適用していない場合は今月分の SharePoint 累積更新の適用を最優先で検討することを推奨します。適用手順の詳細(全サーバーへのインストール順序、構成ウィザードの実行、メンテナンス時間の考え方)は、関連記事『CVE-2026-56164|SharePoint 権限昇格の悪用確認と対処の手順』で解説しています。

デシリアライゼーション攻撃・マシンキー窃取を想定した確認

本脆弱性は CWE-502(デシリアライゼーション)であり、CISA が警告する SharePoint 攻撃キャンペーンの中核技術と同じ性質を持ちます。攻撃者は IIS マシンキーを窃取し、正規に署名された不正な ViewState ペイロードを生成してデシリアライゼーション RCE を成立させます。このため、パッチ適用だけでなく、マシンキー窃取を前提とした確認と対処を検討する必要があります。

KEV の Required Action にもフォレンジックトリアージへの準拠が含まれます。パッチ適用前・適用時の確認ポイントは以下のとおりです。

不審なリクエストと Web シェルの確認

IIS ログの異常な POST リクエスト、SharePoint のディレクトリ(LAYOUTS 配下等)に作成された心当たりのない .aspx ファイルの有無を確認します。

Defender 検出の確認

本攻撃キャンペーンに関連する検出名(Exploit:Script/ToolPaneAuthBypass.A / .CBackdoor:MSIL/LeakFang.A!dha など)のアラート履歴を確認します。

マシンキーの窃取を想定した対処

侵害が疑われる環境、または長期間パッチ未適用でインターネットに公開されていた環境では、パッチ適用後にマシンキーのローテーションを実施します。

重要な注意点として、CISA はマシンキーのローテーションを行う前に、侵害痕跡のハンティングと攻撃者の排除を先に行うよう明記しています。攻撃者が環境内に残ったままキーを更新しても、再び窃取されるためです。

マシンキーローテーションの具体的な手順(Set-SPMachineKey / Update-SPMachineKey、タイマージョブによる実行、iisreset の実施)、および AMSI 統合による緩和策の詳細設定は、前回記事に集約しています。デシリアライゼーション RCE への対処としても同じ手順が有効なため、関連記事『CVE-2026-56164|SharePoint 権限昇格の悪用確認と対処の手順』のマシンキーローテーションおよび AMSI の節を参照してください。

なお、本脆弱性はデシリアライゼーションを突く RCE であり、AMSI の Request Body Scan(POST ボディのスキャン)が緩和策として意味を持ちます。この機能は SharePoint Server Subscription Edition でのみ利用可能なため、緩和策のカバレッジという観点でも、サポートが終了した 2016 / 2019 と Subscription Edition の差が現れます。

まとめ

CVE-2026-58644 は、公開の翌日に悪用確認へと格上げされた SharePoint Server の RCE 脆弱性であり、CISA KEV にも追加されました。悪用にはサイト所有者以上の認証を要しますが、同月の認証不要な脆弱性と組み合わされる攻撃チェーンを踏まえ、今月の SharePoint 累積更新をまとめて適用することが求められます。

  • 公開後に悪用確認へ格上げされたデシリアライゼーション RCE、CVSS 9.8
  • 悪用にサイト所有者以上の認証を要するが、攻撃チェーンで RCE に至る
  • ペアの CVE-2026-50522 は Pwn2Own 実証済み、ベンダー評価は変わり得る
  • CISA KEV 登録は 7 月 16 日、対応期限は 7 月 19 日
  • 対象は Subscription Edition / 2019 / 2016、今月の累積更新で一括修正
  • マシンキー窃取を想定した確認とローテーションが有効
  • ベンダーの初期評価に依存せず悪用状況を継続的に確認

以上、最後までお読みいただきありがとうございました。

よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

関西を拠点に活動する、現役インフラエンジニア。経験20年超。

大手通信キャリアにて、中〜大規模インフラ(ネットワーク・サーバ・クラウド・セキュリティ)の設計・構築およびプロジェクトマネジメントに従事。現場で直面した技術課題への対処や、最新の脆弱性情報への実務対応を、一次情報として発信しています。

保有資格
CCIE Lifetime Emeritus(取得から20年以上)/ VCAP-DCA / Azure Solutions Architect Expert

▶ 運営者プロフィール(詳細)

目次