今週は4本のニュースを取り上げます。最も緊急性が高いのはAdobe Acrobat/Readerのゼロデイ攻撃です。国内CMSのMovable Typeにも深刻な脆弱性が公表されました。福岡銀行での内部不正による保険契約情報漏えいは委託先・出向者管理の重要性を示す事例です。
NEWS 01IPA/JPCERT/CC | 2026年4月11〜13日
Adobe Acrobat/Readerにゼロデイ脆弱性(CVE-2026-34621)、悪用を確認済み——72時間以内の更新を
IPAおよびJPCERT/CCは2026年4月11〜13日、Adobe Acrobat/Readerに深刻なゼロデイ脆弱性(CVE-2026-34621)が存在し、すでに実際の攻撃への悪用が確認されていると発表しました。悪意を持って細工されたPDFファイルを開くだけで、攻撃者が任意のコードを実行できます。
▌中小企業への影響
メールの添付PDFを開くだけで感染するリスクがあります。営業・経理・人事など幅広い部門が影響を受けます。
▌推奨対応(本日〜72時間以内)
- → Acrobat/Reader起動→「ヘルプ」→「アップデートの有無をチェック」で最新版へ更新する
- → 社内全PCでバージョンを確認し更新を完了させる
- → 更新完了まで不審なPDFを開かないよう社内周知する
NEWS 02IPA/JVN | 2026年4月8日
Movable Typeに深刻な脆弱性(JVN#66473735)——任意コード実行・SQL実行が可能
IPAおよびJVNは2026年4月8日、CMS「Movable Type」に複数の深刻な脆弱性(CVE-2026-25776: CVSS 9.8緊急、CVE-2026-33088: CVSS 7.3重要)が存在すると公表しました。管理画面またはData APIを利用している環境が影響を受けます。シックス・アパート社はすでに修正版をリリースしています。
▌推奨対応
- → 自社サイトがMovable Typeか確認し、最新版にアップデートする
- → 外部委託の場合は制作会社に対応状況を確認する
NEWS 03福岡銀行 | 2026年3月27日公表
福岡銀行、メットライフ生命出向者による保険契約情報の不正持ち出し——1,097件が対象
株式会社福岡銀行は2026年3月27日、メットライフ生命保険からの出向者が顧客の生命保険契約情報を不正に持ち出していた事案を公表しました。個人1,052名・法人45社の氏名・保険商品名・保険料等が漏えい。目的はメットライフ生命が他社の販売動向を把握するためだったとされています。
▌中小企業への影響
出向者・派遣社員・業務委託先が業務上取り扱う情報の持ち出しリスクは中小企業でも同様。「信頼できる取引先だから大丈夫」という前提が内部不正の温床になる。
▌推奨対応
- → 外部人員のアクセス範囲を業務上必要な最小限に限定する
- → 退職・出向終了時にシステムアカウントを即時無効化する
- → 情報取り扱いに関する誓約書を外部人員にも締結させる
NEWS 04警視庁 | 2026年4月発表
都内ランサムウェア被害が2025年に過去最多68件——中小企業が標的の中心に
警視庁の発表によると、2025年の都内ランサムウェア被害件数は68件で過去最多。VPN機器の脆弱性悪用とRDP経由の侵入が主な侵入経路。中小企業・医療機関・製造業など多様な業種が被害を受けており、サプライチェーンを通じた攻撃も増加しています。
▌推奨対応
- → VPN機器のファームウェアを最新版に更新する
- → RDPはVPN経由に変更するか接続元IPを制限する
- → バックアップをオフライン環境に保存し定期的にリストアテストを行う
- → 多要素認証(MFA)をすべての重要システムに導入する
編集部まとめ
今週の最優先事項はAdobe Acrobat/Readerの更新です。Movable Typeの使用確認も早期に行ってください。内部不正対策としてアクセス権限の棚卸しを定期実施し、バックアップと多要素認証の整備も進めてください。
secure