今週は3本を取り上げます。①Palo Alto NetworksのファイアウォールOSに深刻な脆弱性(CVE-2026-0300、CVSS9.3)が発見され、すでに悪用が確認されています。同製品を使用している場合は至急パッチを確認してください。②Microsoftの5月月例パッチが公開され、CVSS9.8以上を含む138件(うち緊急30件)に対応。③不動産向けクラウドサービス「いえらぶCLOUD」への不正アクセスで、イオンモールを含む複数組織の個人情報が流出した可能性があります。
NEWS 01
IPA・JPCERT/CC | 2026年5月8日
Palo Alto Networks PAN-OSに深刻な脆弱性、野放し悪用を確認 緊急
Palo Alto Networks社のファイアウォール製品が使用するOS「PAN-OS」に、認証不要でroot権限によるリモートコード実行が可能なバッファオーバーフロー脆弱性(CVE-2026-0300)が発見されました。CVSSv4.0スコアは9.3(Critical)と評価されており、IPAが2026年5月8日に注意喚起を公開しています。
この脆弱性は、PAN-OSの「User-ID認証ポータル(Captive Portal)」サービスに存在します。インターネット側に認証ポータルが公開されている場合、攻撃者は特殊なパケットを送信するだけでroot権限によるコード実行が可能となります。ユーザーの操作や事前認証は一切不要です。Palo Alto Networksの脅威調査チーム「Unit 42」は、国家関与が疑われる脅威クラスター(CL-STA-1132)による悪用を追跡しており、米国CISAも既知悪用脆弱性リスト(KEV)に登録し、連邦機関に対して2026年5月9日までの修正を義務付けました。
影響を受けるのはPA-Series・VM-SeriesファイアウォールでUser-ID認証ポータルを使用している構成です。Prisma Access、Cloud NGFW、Panoramaは影響を受けません。
▌中小企業への影響
Palo Alto NetworksのPA-Seriesファイアウォールは一定規模の企業で導入されています。該当製品を使用しており、認証ポータルをインターネット公開している場合は直ちに悪用されるリスクがあります。管理をITベンダーに委託している場合は、ベンダーに問い合わせて対応状況を確認することが先決です。
▌推奨対応(早急に実施)
- → PAN-OSバージョンを確認し、Palo Alto Networks公式サイトで提供されているパッチを適用する
- → User-ID認証ポータルをインターネット向けに公開している場合は、信頼済みの内部IPアドレスのみにアクセスを制限する
- → 管理をITベンダーに委託している場合は、対応状況をベンダーに確認・依頼する
- → Palo Alto Networksが提供するThreat Prevention署名(IDが95901と95899)を有効化することで、パッチ適用前の緩和策になる
NEWS 02
IPA・JPCERT/CC(at260012)| 2026年5月13日
Microsoft 2026年5月の月例パッチ、CVSS9.8の脆弱性を含む138件に対応
Microsoftは2026年5月13日(日本時間)に月例セキュリティ更新プログラムを公開しました。今月は138件の脆弱性に対応しており(CVEベースで118件)、うち30件が最大深刻度「緊急(Critical)」に分類されています。JPCERT/CCも同日、注意喚起(JPCERT-AT-2026-0012)を公開しています。
今月特に注意が必要な脆弱性は以下の4件で、いずれもCVSSスコアが9.8以上、認証やユーザー操作なしで悪用可能です。
| CVE番号 |
対象製品・脆弱性種別 |
CVSSスコア |
| CVE-2026-42898 |
Microsoft Dynamics 365オンプレミス リモートコード実行 |
9.8 |
| CVE-2026-41096 |
Windows DNSクライアント リモートコード実行 |
9.8 |
| CVE-2026-41089 |
Windows Netlogon リモートコード実行 |
9.8 |
| CVE-2026-42823 |
Azure Logic Apps 特権昇格 |
9.8 |
今月の更新プログラム公開前に脆弱性情報の一般公開や悪用は確認されていませんが、公開後は攻撃者が脆弱性を分析して攻撃コードを作成する可能性があります。対象製品はWindows 10/11、Windows Server 2016/2019/2022/2025、Office、SharePoint、Dynamics 365、Azureなど広範にわたります。
▌中小企業への影響
Windows PCを使用しているすべての企業が対象です。特にWindows DNSクライアントの脆弱性(CVE-2026-41096)は、社内ネットワーク上のすべてのWindowsマシンに影響する可能性があります。Dynamics 365をオンプレミスで運用している場合はサーバー側のパッチ適用が必要です。
▌推奨対応(今週中に実施)
- → Windows Updateを手動実行し、最新の更新プログラムが適用済みであることを確認する
- → 社内に複数台のPCがある場合は全端末の更新状況を管理者権限で確認する
- → 更新後に業務システムの動作確認を行い、問題がなければ全社展開する
NEWS 03
ScanNetSecurity | 2026年5月11日
いえらぶCLOUDへの不正アクセスで個人情報漏えいの可能性、イオンモールにも影響
不動産仲介業向けクラウドサービス「いえらぶCLOUD」を提供するいえらぶGROUP株式会社のシステムに不正アクセスが発生し、同サービスを利用していたイオンモール株式会社(イオンハウジング部門)の顧客情報が流出した可能性があることが判明しました。イオンモールは2026年5月1日に公表しています。
流出した可能性がある情報は氏名、メールアドレス、電話番号、住所などの個人情報です。2026年5月1日時点でクレジットカード番号やマイナンバーの流出は確認されていないと発表されています。
このインシデントは委託先・SaaSサービスを経由した情報漏えいの典型事例です。自社が直接攻撃を受けていなくても、利用しているクラウドサービス側のセキュリティ事故によって個人情報が流出するリスクがあります。
▌中小企業への影響
業務委託先や外部SaaSサービスを通じた情報漏えいは業種を問わず発生しています。自社が直接の被害を受けていなくても、利用しているサービスがセキュリティ事故を起こした場合、顧客情報や取引先情報の漏えいにつながる可能性があります。個人情報保護法上の義務(報告・通知)が発生することにも注意が必要です。
▌推奨対応
- → いえらぶCLOUDを利用している場合は、サービス側からの公式通知を確認し、指示に従う
- → 外部SaaS・委託先のセキュリティインシデント情報を定期的に確認する仕組みを作る
- → 顧客情報を預けているサービスで事故が発生した場合の対応フロー(個人情報保護委員会への報告・本人通知)を事前に確認しておく
編集部まとめ
今週は脆弱性悪用・月例パッチ・委託先経由の情報漏えいという3つの軸でのリスクが重なりました。PAN-OS脆弱性は既に悪用が確認されており対応を急ぐ必要があります。Microsoftの月例パッチはWindows利用企業すべてに関わります。委託先経由の情報漏えいは「自社に非がなくても対応義務が生じる」点で経営層の理解が必要です。
secure