マイクロソフト、SharePointの深刻なRCE脆弱性にパッチ（CVE-2026-45659）

マイクロソフト、SharePointの深刻なRCE脆弱性にパッチ適用（CVE-2026-45659）

Help Net Security – May 26, 2026

SharePointに存在する深刻なリモートコード実行（RCE）の脆弱性に対し、マイクロソフトがパッチをリリースした。

この脆弱性はSharePoint Server Subscription Edition、SharePoint Server 2019、SharePoint Enterprise Server 2016に影響を与えるもので、CVE-2026-45659として追跡されている。信頼できないデータを逆シリアル化する際に生じる脆弱性に起因し、比較的簡単な攻撃で悪用される恐れがあるそうだ。認証済みの攻撃者が悪用すると、脆弱なSharePoint Serverインスタンス上でリモートからコードを実行できるようになり、ユーザーの操作も不要とされているが、この脆弱性を悪用するにはまずサーバーへの認証に成功する必要があるという。

SharePointサーバーは機微性の高い企業データを保持していることが多く、通常はインターネットからアクセス可能なため、国家支援型ハッカーやランサムウェアオペレーター、初期アクセスブローカーなどにとって魅力的なターゲットとなっている。また、SharePointにはこれまで実際に悪用された重大な脆弱性が複数存在しており、その中には認証不要で悪用可能なものだけでなく、CVE-2026-45659と同様に最小限の権限が必要なものも含まれる。また、高い権限の取得が悪用の要件となっているにもかかわらず、実際の攻撃で悪用されたRCE脆弱性も報告されている。

それでもマイクロソフトはCVE-2026-45659が攻撃に悪用される可能性は低いと見ている上、現時点で詳細情報や概念実証（PoC）も公開されていないが、オンプレミスのSharePointサーバーを使用している組織には早急なアップデートが推奨される。なお、パッチは以下のバージョンで利用可能となっているようだ。

• SharePoint Server Subscription Edition（ビルド番号16.0.19725.20280）
• SharePoint Server 2019（同16.0.10417.20128）
• SharePoint Enterprise Server 2016（同16.0.5552.1002）

ハッカーがKnowledgeDeliverのゼロデイを悪用し、Webシェルとバックドアを展開（CVE-2026-5426）

SecurityWeek – May 26, 2026

Google傘下のセキュリティ企業Mandiantによると、正体不明の脅威アクターがKnowledgeDeliverのゼロデイ脆弱性を悪用し、Webシェルとバックドアを展開したという。

KnowledgeDeliverは日本企業デジタル・ナレッジが開発した学習管理システム（LMS）で、主に国内企業や教育機関のeラーニングで広く利用されている。今回悪用されたゼロデイは、2026年2月24日以前に導入されたすべてのKnowledgeDeliverに影響を与えるようだ。

このゼロデイはCVE-2026-5426（CVSSスコア：7.5）として追跡されており、デジタル・ナレッジのシステムで標準化された「web.config」ファイルが使われていたことに起因する。同ファイルにはハードコードされた「machineKey」値が含まれており、これらのキーはASP.NETフレームワークでデータの暗号化と署名に使われているとのこと。KnowledgeDeliverを導入する各顧客環境に同一のハードコードされた値が存在していたため、いずれかの環境のキーを知っている攻撃者はViewStateの逆シリアル化攻撃を仕掛けることで、ほかの顧客環境にも侵入できたと説明された。

また、ゼロデイ悪用後にWebシェル「Godzilla」（別名Bluebeam）が展開され、最終的に同社システムがCobalt Strikeのバックドアに感染していることも判明した。ペイロードが被害組織名を含むキーで暗号化されていたことから、Mandiantはこのバックドアがデジタル・ナレッジ向けに特別に用意されたと考えている。

Mandiantはこの攻撃に関連するIoC（セキュリティ侵害インジケーター）を提供しており、利用組織に潜在的な侵入がないかどうか環境を監視することを推奨。さらにインスタンスのマシンキーを定期的に変更し、LMSへのアクセスも制限するよう進言した。