今号は3本のニュースを取り上げます。Microsoftが5月の月例セキュリティ更新(118件)を公開し、IPAとJPCERT/CCが適用を呼びかけています。Trend Micro Apex Oneに実際に悪用が確認されたゼロデイ脆弱性(CVE-2026-34926)が発覚し、CISAが6月4日までの修正を連邦機関に義務付けました。クラウドファンディング「CAMPFIRE」ではGitHubアカウント経由の不正アクセスで最大22.5万件の個人情報漏えいが判明しています。各ニュースの推奨対応を確認してください。
NEWS 01
IPA / JPCERT/CC | 2026年5月13日
Microsoft 5月月例パッチ公開、118件の脆弱性に対応—うち29件はリモートコード実行
Microsoftは現地時間2026年5月12日(日本時間13日)、5月の月例セキュリティ更新プログラムを公開しました。対応した脆弱性は118件で、内訳は権限昇格57件・リモートコード実行29件・情報漏えい9件・サービス拒否8件・なりすまし7件・セキュリティ機能バイパス6件などです。IPAとJPCERT/CC(注意喚起 at260012)はいずれも早急な適用を推奨しています。
対象製品はWindows OS・Microsoft Office・SharePoint Server・Teams・Azure・SQL Server・Visual Studio・Copilotなど多岐にわたります。リモートコード実行が成功した場合、攻撃者がシステムを完全制御できる状態になるため、パッチ未適用の端末は社内ネットワーク全体のリスクになりえます。
4月には SharePoint Server のなりすまし脆弱性(CVE-2026-32201)が野外で実際に悪用されたことが確認されており、今月のパッチも迅速な適用が求められます。
主な対象製品と影響
| 製品カテゴリ |
想定される影響 |
優先度 |
| Windows OS(10/11/Server) |
権限昇格・リモートコード実行 |
最優先 |
| Microsoft Office / SharePoint |
リモートコード実行・なりすまし |
優先 |
| Teams / Azure / SQL Server |
情報漏えい・サービス拒否 |
対応推奨 |
▌中小企業への影響
Windows PCやOfficeを使っているほぼすべての企業が対象です。パッチ未適用のPCが1台でも社内ネットワークにあると、そこを踏み台にした横展開攻撃(権限昇格→全端末制御)のリスクが生じます。SharePointをオンプレミス運用している場合は管理者が即日確認すべき状況です。
▌推奨対応(今週中に実施)
- Windows Updateを手動で実行し、「2026年5月の累積更新プログラム」が適用済みであることを確認する(設定→Windows Update→更新の確認)
- 社内に複数台のPCがある場合は全端末の更新状況を確認する。WSUS等で管理している場合は一括配信を即時実施する
- SharePoint ServerやSQL Serverをオンプレミス運用している場合は、担当者が当該製品の更新プログラムを個別適用する
- 重要業務の直前は再起動を伴うため、週末または業務時間外に適用作業をスケジュールする
NEWS 02
JPCERT/CC / CISA | 2026年5月21日
Trend Micro Apex Oneにゼロデイ脆弱性(CVE-2026-34926)、実際の攻撃で悪用を確認
Trend Micro(TrendAI)は2026年5月21日、エンドポイント保護製品「Apex One(オンプレミス版)」に含まれるディレクトリトラバーサル脆弱性(CVE-2026-34926、CVSSスコア6.7)の修正パッチを公開しました。JPCERT/CCは同日に注意喚起(at260014)を発行し、複数の脆弱性への対応を呼びかけています。
この脆弱性は、ローカルの認証済み攻撃者がApex Oneサーバー上のキーテーブルを改ざんすることで、配下にある全エンドポイントエージェントに悪意あるコードを配布できるという深刻なものです。TrendAIは「野外での悪用を少なくとも1件確認した」と発表しており、米国サイバーセキュリティ機関CISAも5月21日にKEV(Known Exploited Vulnerabilities)カタログへ追加。連邦機関に対して2026年6月4日までの修正を義務付けました。
セキュリティ製品自体が攻撃の起点になるというケースは、管理者が即応しにくい点で特に厄介です。Apex Oneを導入している組織では、通常のパッチサイクルを待たず緊急対応が必要です。
▌中小企業への影響
Apex Oneはエンドポイントセキュリティ製品として中規模以上の企業に多く採用されています。脆弱なサーバーを攻撃者が悪用した場合、全社PCにマルウェアを一斉配布される可能性があります。「セキュリティ製品が入っているから安全」という前提が逆手に取られる事態のため、導入済みの場合は最優先での対応が必要です。
▌推奨対応(緊急)
- Apex Oneのバージョンを確認し、Trend Microが公開した修正ビルドへ即時アップデートする(Trend Microサポートページ「KA-0023430」参照)
- Apex Oneサーバーへのローカルアクセスを持つアカウントを棚卸しし、不要な権限を削除する
- Trend Microのサポート契約がある場合はベンダーに緊急問い合わせを行い、対応状況を確認する
- Apex Oneを使用していない場合でも、他のTrend Micro製品(Worry-Free Business Security等)のアップデートを確認する
NEWS 03
株式会社CAMPFIRE | 2026年4月24日公表・5月続報
CAMPFIRE、GitHubアカウント経由の不正アクセスで最大22.5万件の個人情報漏えい
クラウドファンディングサービス「CAMPFIRE」を運営する株式会社CAMPFIREは2026年4月24日、同社のシステム管理用GitHubアカウントへの不正アクセスが原因で、最大225,846件の個人情報が漏えいした可能性があると発表しました。
不正アクセスが最初に発生したのは2026年4月2日22時50分頃。攻撃者はGitHubアカウントに侵入してソースコードを参照し、そこに含まれていた認証情報を使って顧客情報管理システムへの不正アクセスに成功。4月21日になって内部処理の痕跡が確認され、インシデントの全容が判明しました。
漏えいした可能性のある情報は、プロジェクト実行者の氏名・住所・電話番号・口座情報(120,929件)、支援者の氏名・住所・口座情報(130,155件)、2025年3月5日以前登録のユーザー名(1,282件)です。クレジットカード情報は含まれていないとされていますが、口座情報を含むため、今後の不正利用に注意が必要です。同社は個人情報保護委員会への報告および警察への相談を実施しています。
攻撃の流れ(再現)
| ステップ |
攻撃内容 |
| ① |
GitHubの管理用アカウントに不正ログイン |
| ② |
ソースコードリポジトリを閲覧し、認証情報(DB接続情報等)を取得 |
| ③ |
取得した認証情報で顧客情報管理システムに不正アクセス |
| ④ |
個人情報を含むDBへのアクセス痕跡が残存(実際のダウンロードは未確認) |
▌中小企業への影響
「GitHubのソースコードに認証情報が埋め込まれていた」という経路は、開発会社・システム管理を外部委託している企業で起きやすい問題です。自社のシステム開発を担う社員・委託先が同様の管理をしていないか点検が必要です。口座情報や個人情報を扱うシステムのアクセス権限が適切に管理されているかも確認してください。
▌推奨対応
- 社内またはシステム開発委託先のGitHub・GitLabリポジトリを確認し、ソースコード内に認証情報(パスワード・APIキー・DB接続文字列)が含まれていないかチェックする
- GitHubアカウントに多要素認証(2FA)を設定する。設定済みであっても最終ログイン履歴を確認し、不審なアクセスがないか検証する
- 顧客情報・個人情報を扱うシステムのアクセスログを直近1か月分レビューし、不審なアクセスがないか確認する
- 委託先に対してもセキュリティ管理状況の確認を依頼する(サプライチェーンリスクの観点)
編集部まとめ
今週の3本はそれぞれ「パッチ適用」「セキュリティ製品自体の更新」「認証情報管理」という異なる課題を示しています。MicrosoftのパッチとApex Oneの修正は今週中の対応が必須です。CAMPFIREの事案は、GitHubや開発ツールに認証情報が残っていないかという棚卸しを促す事例です。
いずれも「知っていれば防げた」類の対策です。担当者不在でも社内ルールとして動けるよう、今週の行動を1つ決めてください。
参考情報
secure