Microsoft SharePoint Server のゼロデイ脆弱性 CVE-2026-32201:実環境での悪用を確認

Microsoft SharePoint Server 0-Day Vulnerability Actively Exploited in Attacks

2026/04/15 CyberSecurityNews — 2026年4月の Patch Tuesday で Microsoft が認めたのは、SharePoint Server に存在する深刻なゼロデイ脆弱性 CVE-2026-32201 (CVSS 6.5:Important) が、実環境におけるスプーフィング (成りすまし攻撃) で積極的に悪用されていることだ。この脆弱性が影響を及ぼす範囲は SharePoint Server の複数バージョンであり、CVSS ベーススコアは 6.5 (Important) と評価されている。

この脆弱性は Microsoft SharePoint Server における入力検証不備 (CWE-20) に起因し、未認証のリモート攻撃者に対して、ネットワーク経由での成りすまし攻撃を許す可能性がある。攻撃ベクターは Network/攻撃複雑性は Low/権限不要かつユーザー操作不要であるため、SharePoint を導入している組織を標的とする脅威アクターにとって侵入障壁は低い。

Microsoft のアドバイザリによると、攻撃成功時には一部の機密情報の漏洩および公開データの改竄が可能とされるが、可用性への影響は生じない。機密性/完全性への影響は Low と評価されるが、実環境での認証不要な悪用が確認されているため、現実的なリスクは著しく増大している。

実環境で悪用されているゼロデイ

Microsoft のアドバイザリでは、この脆弱性は Exploitation Detected と評価されており、パッチ公開前から活発な攻撃が観測されていたと報じられている。この脆弱性におけるエクスプロイト・コードの成熟度は Functional、報告信頼性は Confirmed とされており、エンタープライズ環境におけるパッチ適用の優先度は最上位に位置付けられる。

このゼロデイ脆弱性に関する情報は、パッチ公開前には未公表であるため、脅威アクターにより武器化されていた可能性が高い。

すでに Microsoft は、SharePoint Server の各バージョンに対して、セキュリティ更新を提供している。対象は以下の通りである。

  • SharePoint Server Subscription Edition:KB5002853/Build 16.0.19725.20210
  • SharePoint Server 2019:KB5002854/Build 16.0.10417.20114
  • SharePoint Enterprise Server 2016:KB5002861/Build 16.0.5548.1003

これらの更新はすべて 2026年4月14日に公開され、各製品に対して管理者による対応が必須とされている。悪用が確認されている状況を踏まえ、組織はこれらの更新を緊急パッチとして扱う必要がある。

組織が取るべき推奨策は、以下の通りである。

  • 影響を受ける SharePoint Server に対して、セキュリティ更新を即時適用する。
  • SharePoint Server のアクセス・ログを監査し、ネットワーク・ベースの成りすまし攻撃の挙動や異常な認証パターンを確認する。
  • パッチ適用が完了するまで、外部公開された SharePoint インスタンスへのアクセスを可能な限り制限する。
  • 脅威インテリジェンスを継続的に監視し、アクティブな攻撃キャンペーンに関連する IOC を確認する。
  • WAF ルールやネットワーク分離などの多層防御が欠落した状態では、SharePoint をインターネットへ直接公開しない。

SharePoint Server は、世界中で広く導入されているエンタープライズ・コラボレーション・プラットフォームであり、国家支援型の攻撃者や金銭目的の脅威グループにとって高価値なターゲットである。

この種のツールにおける成りすましの脆弱性は、認証情報窃取/ラテラル・ムーブメントを引き起こし、Business Email Compromise (BEC) 型攻撃の初期侵入点として悪用される可能性がある。特にオンプレミス環境で SharePoint Server 2016/2019 を使用している組織は、実環境での悪用が確認されていることから、このパッチを最優先で適用することが強く推奨される。

訳者後書:この脆弱性 CVE-2026-32201 は、 Microsoft SharePoint Server のプログラムが、外部からの入力データを正しくチェックできない、入力検証の不備という問題に起因します。これにより、本来は権限のないはずの攻撃者が、ネットワークを通じて正規のユーザーに成りすますことが可能になっています。今回は、パッチが公開される前から攻撃に悪用され、システムを安全に保つ仕組みの回避というリスクが高まっています。ご利用のチームは、ご注意ください。よろしければ、SharePoint での検索結果も、ご参照ください。