CISA KEV 警告 26/03/18：Microsoft SharePoint の脆弱性 CVE-2026-20963 を登録

CISA Warns of Microsoft SharePoint Vulnerability Exploited in Attacks

2026/03/19 CyberSecurityNews — Microsoft SharePoint における深刻なセキュリティ脆弱性 CVE-2026-20963 が、現在進行形で積極的に悪用されている。2026年3月18日の時点で CISA は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。今回の KEV への追加により、連邦政府機関へのネットワーク攻撃においても、この脆弱性が悪用されていることが確認された。

このコラボレーション・プラットフォームに依存する、すべてのネットワーク管理者に対して早急な対応が求められている。この脆弱性 CVE-2026-20963 は、信頼できないデータのデシリアライズ処理における、Microsoft SharePoint の不具合に起因する。

デシリアライズとは、保存または転送のために構造化されたデータを、アプリケーションのメモリ内で実行可能なオブジェクトへ変換するプロセスである。受信したデータの安全性を、アプリケーションが適切に検証しない場合に、このプロセスが攻撃者に悪用され得る。この SharePoint の脆弱性を悪用する未認証のリモート攻撃者は、細工された悪意のデータパケットを生成し、ネットワーク経由で脆弱なサーバーへ送信する。

Microsoft SharePoint の脆弱性

この信頼できない入力データを、SharePoint がデシリアライズしようとすると、攻撃者が埋め込んだ命令が実行される。この欠陥を突く攻撃者は、有効なユーザー認証情報を必要とせずに、ホストマシン上での任意のコード実行が可能となる。

通常、SharePoint 環境には、機密性の高い企業文書および内部通信が保持されているため、リモートコード実行攻撃が成功した場合には、企業データの深刻な漏洩につながる可能性がある。CISA による KEV カタログへの追加が示すのは、実環境でのアクティブな悪用が防御側により確認されたことである。

セキュリティ研究者たちが、進行中の攻撃を追跡しているが、これらのキャンペーンの背後にいると推測される APT グループは、現時点では特定されていない。さらに CISA は、この脆弱性がランサムウェア攻撃に関与しているかどうかも、現時点で不明であると指摘している。ただし、リモートコード実行の脆弱性は、イニシャル・アクセス・ブローカーおよびランサムウェアの組織にとって、きわめて価値が高い点が懸念される。

コード実行が達成されると、攻撃者は二次ペイロードの展開／永続的バックドアの確立／企業ネットワーク全体へのラテラル・ムーブメントの実行／恐喝キャンペーンなどが可能となる。

広範な侵害リスクを軽減するため、CISA は Federal Civilian Executive Branch (FCEB) に対して厳格な指示を発令した。Binding Operational Directive (BOD) 22-01 に基づき、連邦機関は極めて短い期限での対応に直面している。すべての脆弱な Microsoft SharePoint インスタンスにおいて、Date Added: 2026-03-18 〜 Due Date: 2026-03-21 の間で、完全なパッチ適用または緩和措置の実施が必要となっている。

民間組織に対しても、自組織のデジタル・インフラを保護するために、この厳格なスケジュールの採用が強く推奨される。管理者にとって必要なことは、直ちに Microsoft の公式セキュリティ・アドバイザリを確認し、利用可能なセキュリティ更新プログラムを適用することだ。

環境上の制約により即時のパッチ適用が不可能な組織は、ベンダーが提供する緩和策を適用する必要がある。代替の緩和策が存在しない場合には、恒久的な修正が安全に適用されるまで、脆弱な製品の使用を完全に停止することを、CISA は明確に推奨している。

この脆弱性 CVE-2026-20963 は、 Microsoft SharePoint が外部から届いたデータを処理する際の不備に起因します。本来であれば、ネットワーク上を流れるデータは、安全性を厳密に確認してからシステム内で使える形に戻す必要がありますが、そのためのデシリアライズ処理に問題が発生しています。この隙を突かれると、攻撃者が送り込んだ不正な命令が、あたかも正規の処理であるかのようにサーバ上で実行されてしまいます。認証情報を必要とせずに遠隔から操作を許してしまうため、厳重な対応が必要です。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページを、ご参照ください。