今週は4本のニュースを取り上げます。国内の中小企業サイトで広く利用されるCMS「Movable Type」にCVSS 9.3の深刻な脆弱性が見つかり、Webサイト改ざんのリスクがあります。JPCERT/CCはEmotet検知ツール「EmoCheck」の使用停止と配布終了を発表しました。また、2025年の都内ランサムウェア被害は過去最多の68件に達し、中小企業が被害の6割超を占めています。Google Chrome 147ではCritical脆弱性2件を含む60件の修正が行われており、全端末の更新が急務です。
NEWS 01
IPA / JVN | 2026年4月8日
Movable Typeに深刻な脆弱性、CVSS 9.3のコードインジェクションでWebサイト改ざんの恐れ
IPAおよびJVNは2026年4月8日、CMS「Movable Type」に複数の脆弱性が存在すると発表しました(JVN#66473735)。最も深刻なのはコードインジェクション(CVE-2026-25776)で、CVSS v4.0の基本値は9.3と極めて高い評価です。攻撃者がこの脆弱性を悪用すると、サーバー上で任意のPerlコードを実行できる状態になります。
もう1件はSQLインジェクション(CVE-2026-33088、CVSS v4.0基本値6.9)で、データベースに対して不正なSQLコマンドを実行される恐れがあります。開発元のシックス・アパート株式会社は同日、修正版を公開しています。
Movable Typeは官公庁・大学・中小企業のWebサイトで広く使われている国産CMSです。過去にも2022年にXMLRPC APIの脆弱性(CVE-2022-38078)が悪用されWebサイト改ざんが多発した経緯があり、今回も早期対応が求められます。
▌中小企業への影響
自社Webサイトや採用ページをMovable Typeで運用している企業は直接影響を受けます。Webサイトが改ざんされると、閲覧者にマルウェアが配布される、フィッシングサイトに転用される等の二次被害が発生し、自社の信用問題に直結します。Web制作会社にサイト管理を委託している場合でも、対応状況の確認は発注元の責任です。
▌推奨対応(今週中に実施)
- → 自社サイトがMovable Typeで構築されているか確認する
- → シックス・アパートが公開した修正版へ速やかにアップデートする
- → Web制作会社に管理を委託している場合は、パッチ適用の有無と完了時期を書面で確認する
- → サイトのソースコードやコンテンツに不審な変更がないか目視で確認する
NEWS 02
JPCERT/CC | 2026年4月10日
JPCERT/CCがEmoCheckの使用停止を勧告、DLL読み込みの脆弱性で配布も終了
JPCERT/CCは2026年4月10日、マルウェア「Emotet」の感染確認ツール「EmoCheck」にDLL読み込みに関する脆弱性(CVE-2026-28704)が存在すると発表し、利用の即時停止を求めました。CVSSv4.0のベーススコアは8.4、CVSSv3.0では7.8と評価されています。
この脆弱性は、EmoCheckの起動時に同じディレクトリ内の不正なDLLファイルを読み込み、任意のコードが実行される可能性があるものです。EmoCheckはEmotetの脅威が収束したことを受けて配布を終了しており、修正版のリリース予定はありません。
EmoCheckは2020年のEmotet流行時に多くの企業・組織で利用されたツールです。当時ダウンロードしたファイルがPCのデスクトップや共有フォルダに残っているケースが想定され、攻撃者がそこに不正DLLを配置すると悪用される恐れがあります。
▌中小企業への影響
2020〜2022年のEmotet対応でEmoCheckをダウンロードした企業は多く、ファイルが社内PCや共有フォルダに残存している可能性があります。ファイルが残っているだけでは直ちに危険にはなりませんが、攻撃者が何らかの手段でPC内にDLLを配置した場合、EmoCheckの実行が攻撃のトリガーになり得ます。
▌推奨対応
- → 社内PC・共有フォルダ内で「emocheck」のファイル名を検索し、見つかった場合は削除する
- → 情報システム担当者が過去にEmoCheck導入を指示した経緯がある場合は、全社に削除を周知する
- → エンドポイント保護製品(EDR等)による常時監視に切り替える
NEWS 03
警視庁 / ScanNetSecurity | 2026年4月9日
2025年の都内ランサムウェア被害は過去最多68件、全国226件のうち中小企業が63%
警視庁が2026年4月3日に発表した統計によると、2025年(令和7年)の都内ランサムウェア被害件数は68件で過去最多を記録しました。全国の被害件数は226件(前年比4件増、過去2番目の水準)で、うち約63%にあたる143件が中小企業を標的とした攻撃でした。
侵入経路はVPN機器の脆弱性を悪用したケースが6割超を占め、被害形態は「二重恐喝型」が約9割に達しています。RaaS(Ransomware as a Service)の広がりにより、技術力の低い攻撃者でもランサムウェア攻撃を実行できる環境が整ったことが被害増加の一因とされています。
| 侵入経路 |
割合 |
典型的な原因 |
| VPN機器の脆弱性 |
6割超 |
ファームウェア未更新・初期パスワードの放置 |
| RDP |
約2割 |
ポート3389開放・弱いパスワード |
| メール経由 |
約1割 |
添付ファイル実行・不正URLクリック |
▌中小企業への影響
被害の63%が中小企業という数字は、「うちは狙われない」という認識の危うさを示しています。特にテレワーク導入でVPN機器を設置した企業は要注意です。
▌推奨対応
- → VPN機器のファームウェアを最新版に更新する
- → VPN機器の管理画面パスワードが初期値のままになっていないか確認する
- → RDPが不要であればポート3389をブロックする
- → 週次でバックアップを取得し、ネットワークから切り離した場所に保管する
- → 復旧手順を文書化し、年1回はリストア訓練を実施する
NEWS 04
Google / Security NEXT | 2026年4月7日
Google Chrome 147公開、Critical脆弱性2件を含む60件のセキュリティ修正
Googleは2026年4月7日、Webブラウザ「Chrome 147」の安定版をリリースしました。合計60件のセキュリティ脆弱性が修正され、そのうち2件が最高レベルの「Critical」と評価されています。
Critical評価の2件はWebML(ブラウザ内の機械学習API)に関するヒープバッファオーバーフロー(CVE-2026-5858)と整数オーバーフロー(CVE-2026-5859)です。細工されたWebページを閲覧するだけで任意コード実行の恐れがあります。
▌中小企業への影響
Chromeは業務用ブラウザとして最も広く利用されており、社内のほぼ全PCが対象になります。
▌推奨対応(至急)
- → chrome://settings/help で最新バージョン(147系)に更新されていることを確認する
- → 更新後はブラウザを再起動する
- → 自動更新が無効化されている端末がないか確認する
編集部まとめ
今週の4本のうち、即日対応が必要なのはChrome更新とMovable Typeのパッチ適用です。Chrome更新は各PCで5分で完了するため、本日中に全社展開してください。Movable Typeを利用中の企業は、Web制作会社への確認を今週中に済ませてください。EmoCheckの残存ファイル削除は、情シス担当者が社内検索をかけるだけで完了する作業です。ランサムウェア対策はVPN機器のファームウェア確認とバックアップ体制の見直しの2点が最も費用対効果の高い対策です。
参考情報
- IPA「Movable Typeにおける複数の脆弱性について(JVN#66473735)」(2026年4月8日)
- JPCERT/CC「EmoCheckの脆弱性およびEmoCheck配布終了のお知らせ」(2026年4月10日)
- 警視庁「令和7年におけるサイバー空間をめぐる脅威の情勢」
- ScanNetSecurity「都内ランサムウェア被害 2025年 過去最多 68件」(2026年4月9日)
- 窓の杜「Google Chrome 147が正式版に、60件もの脆弱性を修正」(2026年4月7日)
- Security NEXT「Chrome 147が公開 − クリティカル2件含む多数脆弱性を修正」
本記事は公表情報をもとに編集部が整理したものです。詳細は各機関の公式発表をご確認ください。
secure
