Movable Typeに深刻な脆弱性、任意コード実行・SQLインジェクションのリスク(JVN#66473735)

2026年4月13日 最終更新日時 : 2026年4月17日 secure

今号は3本のニュースを取り上げます。WebサイトのCMSとして国内に広く普及しているMovable Typeに深刻な脆弱性が発見され、IPAが緊急対応を呼びかけています。また、F5 BIG-IP APMの脆弱性が実際の攻撃に悪用されていることが確認されており、対象製品の利用企業は即時対応が求められます。さらに、警視庁が都内のランサムウェア被害が2025年に過去最多の68件に達したと発表しました。各ニュースの推奨対応を確認してください。

NEWS 01
IPA / JVN | 2026年4月8日

Movable Typeに深刻な脆弱性、任意コード実行・SQLインジェクションのリスク(JVN#66473735)

IPAおよびJPCERT/CCは2026年4月8日、ブログ・CMS製品「Movable Type」(シックス・アパート株式会社提供)に複数の深刻な脆弱性があると公表しました(JVN#66473735)。脆弱性は2種類で、コードインジェクション(CVE-2026-25776)とSQLインジェクション(CVE-2026-33088)が確認されています。

コードインジェクションの脆弱性は管理画面のリスティングフレームワークのフィルター処理に存在し、悪用されると任意のPerlコードをサーバー上で実行される恐れがあります。SQLインジェクションはリスティングフレームワークのリクエスト処理に存在し、データベース内の情報を不正に操作・取得される可能性があります。CVE-2026-25776のCVSSスコアは9.8(緊急)と極めて高く、サポートが終了した旧バージョンを含む広範な製品バージョンに影響します。

開発元のシックス・アパートは修正済みバージョンを公開しています。対象バージョンはリスティングフレームワークを使用しているMovable Type 2.14以前(管理画面またはData APIを利用しているもの)です。修正版としてMovable Type 9.1.1(クラウド版のみ)、9.0.7、8.8.3、8.0.10およびMovable Type Premium 9.1.1 / 9.0.7 / 2.15がリリースされています。

CVE番号 種別 影響 深刻度
CVE-2026-25776 コードインジェクション 任意のPerlコード実行 緊急(CVSS 9.8)
CVE-2026-33088 SQLインジェクション 任意のSQL実行・情報漏えい 高(CVSS 7.3)
▌中小企業への影響

Movable Typeは国内のコーポレートサイトや自治体Webサイトで広く使われており、特に2010年代に構築されたサイトでの採用が多く見られます。旧バージョンを使い続けている場合、管理画面から不正アクセスされたり、Webサイトを改ざんされたりするリスクがあります。

▌推奨対応(今週中に実施)
  • → 自社WebサイトのCMSがMovable Typeかどうか確認する
  • → バージョンが9.0.6以前の場合は9.0.7/8.8.3/8.0.10等へアップデートする
  • → 即時対応が困難な場合はIPAのWorkaroundを適用する

NEWS 02
JPCERT/CC | 2026年3月30日

F5 BIG-IP APMの脆弱性(CVE-2025-53521)がRCEに再分類、実環境での悪用が確認される

JPCERT/CCは2026年3月30日、F5 BIG-IP APMの脆弱性CVE-2025-53521についての注意喚起を公表しました。CVSSスコアは最大9.8(CVSS v3.1)と極めて高く、すでに実際の攻撃での悪用が確認されています。米国CISAは2026年3月27日にKEVカタログへ本脆弱性を登録しています。

▌推奨対応(即時)

F5 BIG-IP APMをご利用の場合はバージョンを確認し、対象バージョン(15.1.0〜17.5.1)の場合は至急パッチを適用してください。

NEWS 03
警視庁 | 2026年4月3日発表

都内ランサムウェア被害が2025年に過去最多68件、中小企業が標的の中心に

警視庁は2026年4月3日、2025年の都内におけるランサムウェア被害件数が68件で過去最多となったと発表しました。警察庁の資料によると、2024年の被害222件のうち約63%が中小企業を標的としており、前年比37%増となっています。

攻撃の主な侵入経路は、VPN機器の脆弱性悪用(約60%超)、RDPへの不正アクセス、フィッシングメール経由のマルウェア感染です。

▌推奨対応(今月中に確認・実施)
  • → VPN機器・ルーターのファームウェアを最新版に更新する
  • → RDPは不要ならインターネット側への公開を閉じる
  • → 重要データの定期バックアップを実施し、オフライン環境にも保存する
  • → 社員向けにフィッシングメールの見分け方を周知する

編集部まとめ

今号はMovable Type脆弱性、F5 BIG-IP APM悪用、都内ランサムウェア過去最多の3本をお届けしました。パッチ適用・バックアップ・アクセス制限の三点を今一度確認してください。

カテゴリー
セキュリティニュース

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事
【インシデント速報】2026年4月12日|村田製作所で顧客情報流出・日本郵船の燃料調達システム侵害・CAMPFIREのGitHub不正アクセス
2026年4月12日
次の記事
【インシデント速報】2026年4月13日|ホソカワミクロンにEverestランサム・マイナンバー漏えい、ゼットン1.9万件流出、ムーンスター不正アクセス調査中New!!
2026年4月13日