今週のポイント:Microsoftが5月の月例パッチで138件の脆弱性を修正(うち緊急30件)。特にWindows DNSクライアントのRCE脆弱性(CVSS 9.8)は全Windowsに影響するため、週明けの適用が必須。並行して、Palo Alto製ファイアウォールのゼロデイ悪用が確認されており、PAN-OS利用企業は設定確認を要する。国内では、CAMPFIREのGitHub不正アクセスによる最大22.5万件の個人情報漏えいが続報として判明した。
NEWS 01
IPA / JPCERT・CC / Microsoft(2026年5月13日)
Microsoft 5月パッチチューズデー:138件の脆弱性修正、Windows DNS RCE(CVSS 9.8)に最優先対応を
Microsoftは2026年5月13日(日本時間14日)、月例のセキュリティ更新プログラムを公開した。今回は138件の脆弱性を修正しており、そのうち30件が深刻度「緊急(Critical)」と評価されている。
特に注意が必要なのは、Windows DNSクライアントのリモートコード実行脆弱性(CVE-2026-41096、CVSS 9.8)だ。この脆弱性は、攻撃者が悪意のあるDNSレスポンスを送り込むだけで、ユーザーの操作なしにSYSTEM権限でコードを実行できる。影響を受けるのはWindows 11の現行サポート全バージョンおよびWindows Server 2022/2025で、Microsoftは「悪用される可能性が高い」と判定している。
同様に危険度が高いのがWindows Netlogonのリモートコード実行脆弱性(CVE-2026-41089)。Active Directoryを利用している企業のドメインコントローラーが狙われた場合、社内ネットワーク全体が制御不能になる恐れがある。CVSSスコアは9.8で、認証不要で悪用可能とされている。IPAおよびJPCERT/CCも5月13日付で注意喚起(JPCERT-AT-2026-0012)を発出している。
今回のパッチ主要内訳
| カテゴリ |
件数 |
代表的な脆弱性 |
| リモートコード実行(RCE) |
29件 |
CVE-2026-41096(Windows DNS)、CVE-2026-41089(Netlogon) |
| 特権昇格 |
57件 |
CVE-2026-42823(Azure Logic Apps) |
| 情報漏えい |
9件 |
複数のWindowsコンポーネント |
| サービス拒否(DoS) |
8件 |
Azure / Windows各種 |
| セキュリティ機能回避 |
6件 |
Windows Defender SmartScreen他 |
▌ 中小企業への影響
Windows DNSクライアントの脆弱性は、社内にWindows PCが1台でもあれば影響を受ける。外部からDNSレスポンスを操作されるネットワーク環境(公衆Wi-Fi、VPN未使用の在宅勤務など)では特にリスクが高い。Netlogon脆弱性については、Active Directoryを使っていない中小企業には直接影響しないが、更新プログラムの適用は全企業に推奨される。
▌ 推奨対応
- →社内の全Windowsデバイスで「Windows Update」を実行し、2026年5月の月例パッチを適用する
- →自動更新が有効になっているか全端末で確認する。特にサーバー機は手動確認が必要な場合がある
- →テレワーク端末については、従業員に週明けの出社またはVPN接続時に更新適用を指示する
- →適用後に業務システムへの影響がないか翌日中に確認する
NEWS 02
IPA / Palo Alto Networks(2026年5月8日)
Palo Alto PAN-OSにゼロデイ脆弱性(CVE-2026-0300)、野外での悪用確認——ファイアウォール管理者は即時対応を
Palo Alto NetworksのファイアウォールOS「PAN-OS」に、バッファオーバーフロー脆弱性(CVE-2026-0300)が発見された。CVSS基本スコアは9.3で、認証なしでリモートから悪用でき、ファイアウォールのroot権限でコードを実行される。CISAは5月6日にKEV(既知悪用済み脆弱性カタログ)へ追加しており、実際の攻撃が確認されている。
脆弱性の場所はUser-ID認証ポータル(Captive Portal)。インターネットや信頼されていないネットワークからこのポータルへのアクセスを許可している設定になっている場合、外部からの攻撃が成立する。影響を受けるのはPA-SeriesおよびVM-Seriesのファイアウォール(Prisma Access、Cloud NGFWは対象外)。
Palo Alto Networksは5月13日に最初のパッチを公開している。パッチ適用が直ちにできない場合の緩和策として、User-ID認証ポータルを信頼ゾーンのみに制限するか、使用していない場合は無効化することが推奨されている。IPAも5月8日付で注意喚起を発出している。
▌ 中小企業への影響
PAN-OSを搭載したPalo Alto製ファイアウォールを導入している企業が対象。中小企業では直接導入より、MSP経由で管理されているケースが多い。自社のファイアウォールがPalo Alto製かどうかを確認し、MSPやSIerへ対応状況を確認すること。攻撃が成功した場合、ファイアウォールが完全に制御され、内部ネットワークへの侵入口となる。
▌ 推奨対応
- →PAN-OS利用中の場合、ベンダーまたはMSPに連絡し、CVE-2026-0300パッチの適用スケジュールを確認する
- →即時パッチ適用が難しい場合は緩和策を実施
- →自社ファイアウォールのメーカー・型番を確認し、Palo Alto製であれば管理者へ報告する
- →不審なアウトバウンド通信がないか、ファイアウォールログを確認する
NEWS 03
CAMPFIRE株式会社 / ITmedia / ScanNetSecurity(2026年4月24日〜5月11日)
CAMPFIRE、GitHubへの不正アクセスで最大22.5万件の個人情報漏えいの可能性——口座情報8.2万件も含む
国内最大手のクラウドファンディングサービス「CAMPFIRE」を運営する株式会社CAMPFIREは2026年4月24日、同社のシステム管理用GitHubアカウントへの不正アクセスにより、最大22万5,846件の個人情報が漏えいした可能性があると発表した。
5月11日の続報では、漏えいの可能性がある情報は、プロジェクト実行者の氏名・住所・電話番号・口座情報を含む12万929件、支援者の氏名・住所・口座情報を含む13万155件、氏名のみの1,282件。口座情報を含むレコードは合計8万2,465件に上る。
本件は、ソースコード管理ツール(GitHub)のアクセス権管理の不備が招いたインシデントとして注目されている。マネーフォワードも同様の問題について5月11日に説明を行っている。
漏えい可能性のある情報(種別)
| 対象 |
件数 |
含まれる情報 |
| プロジェクト実行者 |
12万929件 |
氏名・住所・電話番号・口座情報 |
| 支援者 |
13万155件 |
氏名・住所・口座情報 |
| ユーザー(氏名のみ) |
1,282件 |
氏名のみ |
| 口座情報含む合計 |
8万2,465件 |
振込先口座情報等 |
▌ 中小企業への影響
CAMPFIREで資金調達を行ったことがある企業・個人事業主は、口座情報を含む個人情報が漏えいしている可能性がある。また、自社でGitHubや類似のソースコード管理ツールを使っている場合、従業員アカウントへの不必要なアクセス権付与や、リポジトリへの機密情報の混入がないか点検するきっかけとすべき事案だ。
▌ 推奨対応
- →CAMPFIREで過去にプロジェクトを立ち上げた、または支援した場合は、同社の公式告知を確認し、口座情報の不審な動きを監視する
- →自社でGitHub・GitLab等を使用している場合、リポジトリに個人情報・認証情報が含まれていないかgit-secretsやgitleaksで確認する
- →退職者・異動者のGitHubアクセス権が削除されているか棚卸しを行う
- →開発委託先のリポジトリへのアクセス権も過剰付与がないか確認する
NEWS 04
JIPDEC 企業IT利活用動向調査2026(2026年5月公表)
国内企業のランサムウェア感染率45.8%——「情報窃取型」への移行と二重脅迫が深刻化
JIPDECが公表した「企業IT利活用動向調査2026」によると、調査対象企業のうちランサムウェアの感染被害を経験した割合は45.8%に達した。企業規模を問わず中小企業もターゲットとなっており、対策予算が限られる中小企業がサプライチェーン攻撃の踏み台として狙われるケースが増加している。
特に深刻なのが、単なるファイル暗号化から「情報窃取型」への移行だ。感染被害のうち「機密情報の漏えい」が伴うケースは2024年の29.3%から35.1%へ上昇。ダブルエクストーションが主流。
「ノーウェアランサム」も増加。データを暗号化せず窃取した情報の公開を脅迫材料として金銭を要求するもので、バックアップを整備していても被害を防げない。身代金の支払い率は57.0%(2024年)から43.8%(2026年)へ低下。
▌ 中小企業への影響
感染経路の主流はVPN機器の脆弱性とフィッシングメールによる認証情報窃取。サプライチェーン経由では大企業の取引先として選ばれた中小企業がまず侵入され、そこを踏み台に大企業のネットワークへ横断移動するケースが報告されている。バックアップ体制の見直しが急務だ。
▌ 推奨対応
- →VPN機器・ファイアウォールのファームウェアを最新に保つ
- →バックアップを「3-2-1ルール」で運用し、定期的に復元テストを実施する
- →EDRツールを導入していない場合、または無料のMicrosoft Defender for Businessを検討する
- →フィッシング対策として、全従業員に「不審メールのリンクを開く前にIT担当に確認する」フローを徹底する
- →大企業との取引がある場合、最低限のISMS整備を検討する
編集部まとめ
今週の最優先事項はMicrosoft 5月パッチの適用(特にCVE-2026-41096)とPAN-OS利用企業の設定確認。CAMPFIREの事案はGitHubアクセス管理の盲点を突いており、開発ツール利用企業は自社リポジトリの棚卸しを行う機会としたい。ランサムウェア調査が示す通り、「バックアップがあるから安心」は通用しなくなっており、情報窃取への備えを含めた多層防御が求められる。
参考情報・出典
secure