Microsoftが2026年7月に発表したPatch Tuesdayは、その規模の大きさだけでなく、企業インフラの最も重要な部分に影響を及ぼす2つのゼロデイ攻撃が積極的に活用されたことでもすぐに注目されました。CVE-2026-56164は、オンプレミスのSharePoint Serverを標的とし、低複雑性の攻撃においてリモートでの悪用が可能であり、一方でCVE-2026-56155はActive Directoryフェデレーションサービスを標的として、低特権のローカル拠点からの特権昇格を可能にします。これらは、防御者が今月のリスクを単なるスコアで判断すべきでない理由を示しています。
SharePointのバグは、より緊急性の高いインターネットに面した問題です。公開報告によると、認証情報もユーザーの操作も必要としないため、セルフホストのSharePointをまだ運用している組織にとって特に危険です。AD FSの欠陥は範囲が狭いですが、実務上は同様に重要です。なぜなら、フェデレーションインフラストラクチャは企業のアイデンティティと信頼の中心に位置しているからです。攻撃者がその層に到達すると、影響は単一のホストをはるかに超える可能性があります。
CVE-2026-56164とCVE-2026-56155の分析
For CVE-2026-56164の分析、重要な点は、Microsoftと外部の報告の双方が、この欠陥がオンプレミスのSharePointに対する実際の攻撃で既に悪用されていると述べていることです。これは特権昇格の問題ですが、多くの特権バグとは異なり、リモートで悪用可能で低複雑性であるため、そのラベルが示す以上に運用上危険性が高いです。
CVE-2026-56164に関する現在の詳細は限られています。Microsoftは、正確なエクスプロイトチェーン、責任者、または完全な侵入後の動作を公に説明していません。明らかなことは、この欠陥がセルフホストのSharePoint Serverに影響を及ぼすことであり、特に同じ7月の更新で追加のSharePointリモートコード実行とセキュリティバイパスの問題も修正されているため、優先度の高い修正イベントとして扱われるべきということです。
AD FSゼロデイには異なるプロファイルがあります。CVE-2026-56155はActive Directoryフェデレーションサービスに影響を及ぼし、ローカルの低特権から開始するため、攻撃者がすでにある程度アクセスを得た後に役立つ可能性が高いです。それにもかかわらず、AD FSは攻撃者がネットワーク内に入った後に求める正しくその種類のアイデンティティインフラストラクチャです。なぜなら、環境の残りの部分の認証パスに位置しているからです。
執筆時点では、CVE-2026-56164の公開POCも、報告されたCVE-2026-56155の公開詳細IOCも存在しません。つまり、防御者はシグネチャベースの検出に依存するのではなく、露出の削減、パッチの展開、および最も濫用されやすいシステムの侵入後のレビューに焦点を当てるべきです。
CVE-2026-56164とCVE-2026-56155の緩和策
Microsoftの推奨対応は簡単です。両方の欠陥を直ちにパッチ適用することです。SharePointでは、AMSIをフルモードで有効にして攻撃を和らげることができますが、パッチ適用が優先されます。なぜなら、7月の更新では攻撃者が連鎖利用する可能性のある追加のSharePointの弱点も修正されているからです。これにより、CVE-2026-56164の検出は完璧なテレメトリーを待つことではなく、どのサーバーが露出しているのか、インターネットに面しているのか、まだパッチ適用されていないのかを確認することに焦点が置かれます。
AD FSの場合、修正はWindowsおよびWindows Serverの更新に含まれており、MicrosoftはAD FS分散キー管理コンテナのアクセス制御リストの強化も開始しています。実際には、CVE-2026-56155の緩和は、パッチ適用とアイデンティティ層の強化の両方として扱われるべきです。
CVE-2026-56155を検出するには、セキュリティチームはフェデレーションサーバーを優先し、関連する更新が適用されているかを確認し、疑わしいローカル特権の変更やアイデンティティインフラストラクチャの濫用をレビューするべきです。同じ論理がSharePointにも適用されます:すべてのオンプレミスサーバーを目録し、迅速にパッチを適用し、最も早く観察された攻撃窓口以降に外部からアクセスできるインスタンスが異常なアクセスや認証後の濫用を示したかどうかをレビューします。
免責事項:すべてのCVEに対して検出コンテンツが利用可能であるとは限りません。最新のカバレッジについてはSOC Primeプラットフォームを確認してください。現在関連する検出が見つからない場合は、後ほど再確認してください。
FAQ
CVE-2026-56164とCVE-2026-56155とは何か、それはどのように機能するのか?
CVE-2026-56164は、オンプレミスのMicrosoft SharePoint Serverにおける積極的に利用されている特権昇格の欠陥であり、低複雑性の攻撃にリモートで悪用可能です。CVE-2026-56155は、Active Directoryフェデレーションサービスにおいて積極的に利用されている特権昇格の欠陥で、ローカルの低特権から開始し、攻撃者がアイデンティティインフラストラクチャにさらに深く侵入するのを助けることができます。
CVE-2026-56164とCVE-2026-56155はいつ初めて発見されたのか?
どちらの問題についてもプライベートな発見日の公開報告はありません。知られているのは、Microsoftが2026年7月に修正を公に発表し、両方のインシデントレスポンダーに謝辞を表明していることです。これは、実際の攻撃調査中に発見されたことを強く示唆しています。
CVE-2026-56155がシステムに与える影響は何か?
CVE-2026-56155の最も深刻な影響は、AD FSホストでの特権昇格であり、ローカルアクセス要件が示唆する以上に重要です。AD FSは環境全体でアイデンティティ信頼を署名し仲介するため、その役割が誤って悪用されると、より広範な横断的な移動および後続の濫用をサポートする可能性があります。
CVE-2026-56164とCVE-2026-56155は2026年でもまだ私に影響を与えることがあるか?
はい。組織は、2026年7月のMicrosoft更新を適用していない場合、特にインターネットに面しているオンプレのSharePointを運用しているか、既存の足掛かりを通じてすでに攻撃者にアクセスされているAD FSサーバーを保持している場合、2026年でも影響を受ける可能性があります。
どのようにしてCVE-2026-56164とCVE-2026-56155から自分を守ることができるか?
直ちにパッチを適用し、追加の制御としてSharePointでAMSIフルモードを有効にし、AD FSに対してバンドルされたWindowsおよびWindows Serverの更新を展開し、最も重要なコラボレーションとアイデンティティシステムの侵入後の濫用の兆候をレビューしてください。この場合、完全な公開エクスプロイト開示を待つよりも迅速さが重要です。