今号のポイント3点:
① Microsoftが5月の月例パッチで138件の脆弱性に対応(緊急30件・CVSS9.8が4件)—未適用の場合は今週中に全PC確認。
② TrendMicro Apex Oneに悪用確認済みの脆弱性(CVE-2026-34926)—CISAが6月4日までのパッチ適用を命令。セキュリティ製品自体が踏み台になるリスク。
③ CAMPFIREのGitHub不正アクセスで最大22万5,846件の個人情報漏えいの恐れ—自社のソースコード管理ツールの認証情報管理を点検するきっかけに。
NEWS 01
出典: IPA(0513-ms)/ JPCERT/CC(at260012)| 2026年5月13日
重要
Microsoft 2026年5月月例パッチ:138件対応・緊急30件・CVSS9.8が4件含まれる
Microsoftは2026年5月13日(日本時間)、すべてのサポート対象バージョンのWindowsを含む月例セキュリティ更新プログラムを公開した。今月は138件の脆弱性に対応し、そのうち30件が深刻度「Critical(緊急)」と評価されている。CVSSスコア9.8の脆弱性が4件含まれており、いずれも認証なし・ユーザー操作なしで遠隔から悪用できる条件のものだ。
対象製品はWindows OS・Office製品・SharePoint・Azure・Microsoft Teams・SQL Server・Visual Studioなど広範にわたる。JPCERT/CC(注意喚起:at260012)およびIPA(Microsoft製品の脆弱性対策について2026年5月)も適用を呼びかけている。公開時点でゼロデイ(悪用確認済み)はないものの、CVSS9.8クラスの脆弱性は攻撃コードが公開されるまでのタイムラグが短い傾向にあるため、早期適用が求められる。
| 深刻度 |
件数 |
主な対象製品 |
| Critical(緊急) |
30件 |
Windows、SharePoint、Azure、Office |
| Important(重要) |
約100件 |
Teams、SQL Server、Visual Studio、.NET |
| CVSS 9.8(最重要) |
4件 |
認証不要・遠隔操作可能なリモートコード実行 |
■ 中小企業への影響
Windows PCや社内のOffice製品を使用している場合は対象だ。パッチ未適用のPCが1台でも社内ネットワーク上にあると、そこを起点とした横展開攻撃が成立するリスクがある。SharePointやTeamsを業務で利用している場合はサーバー・クラウド側の更新状況も確認が必要となる。
■ 推奨対応(今週中に実施)
- → Windows Updateを手動で実行し、最新のパッチが適用済みであることを確認する(設定→Windows Update→更新プログラムのチェック)
- → 社内に複数台のPCがある場合は全端末の更新状況を確認する。台数が多い場合はWSUSや管理ツールで一括確認する
- → Microsoft 365(Teams、SharePoint等)はクラウド側で自動更新されるが、デスクトップアプリ(Officeクライアント)は手動確認が必要
- → SQL Serverを自社運用している場合は管理者がサーバー側パッチを優先適用する
- → 更新後の動作確認のため、重要業務の直前適用は避け、週末前後を目安に対応する
NEWS 02
出典: JPCERT/CC(at260014)/ CISA | 2026年5月21〜26日
緊急
TrendMicro Apex Oneに悪用確認済みの脆弱性(CVE-2026-34926)—CISAが6月4日までのパッチ適用を命令
JPCERT/CCは2026年5月21日、トレンドマイクロのエンドポイントセキュリティ製品「Apex One(オンプレミス版)」およびVision One Endpoint Security(SEP)に複数の脆弱性が存在するとして注意喚起(at260014)を発出した。このうちCVE-2026-34926(パストラバーサル:ディレクトリ横断)は既に実際の攻撃での悪用が確認されており、米国のサイバーセキュリティ機関CISAは同脆弱性をKEV(既知悪用脆弱性)カタログに追加し、米連邦政府機関に対して2026年6月4日までのパッチ適用を命じた。
CVE-2026-34926は、Apex Oneサーバーへの管理者権限アクセスを持つ攻撃者がディレクトリ横断を悪用してエージェントに悪意あるコードを配布できる脆弱性だ。CVSSスコアは6.7(Medium)とやや低めに評価されているが、悪用前提条件が「Apex Oneサーバーへの管理者アクセス取得済み」という点に注意が必要だ。すでに内部ネットワークに侵入した攻撃者が、セキュリティ製品そのものを使って全端末に悪意あるコードを展開するという高度な悪用が想定される。
影響を受けるバージョンはApex One 2019(オンプレミス版)のサーバー・エージェントビルド17079未満。トレンドマイクロはSP1 Critical Patch(ビルド18012)を提供している。
■ 中小企業への影響
Apex Oneをオンプレミスで導入している企業は直接の対象だ。「セキュリティ製品だから安全」という前提は通用しない。セキュリティ製品の管理コンソールに強固なアクセス制御(MFA・VPN経由のみアクセス等)を設けていない場合は、この脆弱性が最大限悪用されるリスクがある。
■ 推奨対応(至急)
- → Apex One(オンプレミス版)を導入している場合は、サーバービルドが17079以上かどうか管理コンソールで確認する
- → 未適用の場合はトレンドマイクロのサポートサイトからSP1 Critical Patch(ビルド18012)を取得して適用する
- → 適用が完了するまでは、Apex Oneの管理コンソールへのアクセスを社内IPアドレスまたはVPN接続に限定する
- → Apex One as a Service(クラウド版)利用の場合は、トレンドマイクロのダッシュボードで最新のパッチ適用状況を確認する
- → 管理コンソールのログイン履歴を確認し、心当たりのないアクセスがないか確認する
NEWS 03
出典: CAMPFIRE株式会社 | 2026年4月24日発表(5月続報)
注意
CAMPFIREのGitHub不正アクセスで最大22万5,846件の個人情報漏えいの恐れ—ソースコード管理の認証情報管理が焦点
クラウドファンディングサービス「CAMPFIRE」を運営するCAMPFIRE株式会社は2026年4月24日、システム管理用のGitHubアカウントに不正アクセスが発生し、最大22万5,846件の個人情報が漏えいした可能性があることを発表した。その後5月に入り、GitHubへのアクセスを起点として内部システムへの横展開が行われた痕跡が確認されたとの続報が出ている。
攻撃の流れとして、GitHubリポジトリ内に保存されていた認証情報(接続文字列・APIキー等)が取得され、顧客情報管理システムへのアクセスに利用されたとみられている。漏えいの恐れがある情報には、プロジェクト実行者の口座情報(82,465件)・支援者の氏名・住所・メールアドレス等が含まれる。なおクレジットカード情報は対象外とのことだ。
本件は中小企業にとっても他人事ではない。GitHubやコード管理ツールに接続情報をそのまま保存する運用は多くの企業で見られるが、リポジトリへのアクセス権が侵害された場合に情報の連鎖的な漏えいにつながる典型的なパターンだ。
■ 中小企業への影響
CAMPFIREを利用したプロジェクト実行者・支援者は本件の直接的な対象だ。また自社でGitHubや類似のソースコード管理サービスを業務に使用している場合、同様のリスクがないかを点検する必要がある。特に、システムの接続情報・APIキー・パスワードをリポジトリにコミットしたことがある場合は今すぐ確認が必要だ。
■ 推奨対応
- → CAMPFIREを利用している場合は、同社からの公式案内を確認し、パスワード変更・不審な取引がないかチェックする
- → 社内でGitHub等を使用している場合は、リポジトリ内に接続情報・APIキー・パスワードが含まれていないかコードを確認する
- → 接続情報は環境変数や専用のシークレット管理ツール(GitHub Secrets、AWS Secrets Manager等)で管理し、コードには直接書かない運用に切り替える
- → GitHubアカウントには必ず多要素認証(MFA)を設定する。組織アカウントの場合はメンバー全員のMFA設定を強制する
- → 使用していない・退職したメンバーのGitHubアクセス権を定期的に棚卸しして削除する
編集部まとめ
今号の3件はいずれも「対応済みか確認する」ことが最初の行動だ。Microsoftの月例パッチは今月分の適用が完了しているか全PCで確認してほしい。Apex Oneを使っている場合はバージョン確認を至急行う必要がある。CAMPFIREの件はソースコード管理の認証情報管理という内部の問題であり、自社の運用を見直す機会でもある。
「セキュリティ製品自体が攻撃の踏み台になる」「開発ツールの認証情報から情報が連鎖漏えいする」という2つのパターンは、近年のサイバー攻撃の典型的な手口として増加している。ツールへのアクセス管理とパッチ管理の徹底が、引き続き最優先の対策だ。
secure