【セキュリティニュース】2026年5月5日号|Windows IKE 緊急脆弱性・アルプスアルパインVPN侵害・日本郵船システム不正アクセス・GW明け対策

【セキュリティニュース】2026年5月5日号|Windows IKE 緊急脆弱性・アルプスアルパインVPN侵害・日本郵船システム不正アクセス・GW明け対策

ゴールデンウィークの最終日。連休中に積み上がった4本のニュースをまとめます。第一に、Windowsに認証不要・CVSS9.8のリモートコード実行脆弱性(CVE-2026-33824)が4月の月例パッチで修正されました。第二・第三に、アルプスアルパインと日本郵船で外部VPN・委託先システム経由の不正アクセスが立て続けに公表されています。第四に、IPAから長期休暇明けに必ず実施すべきチェック項目が出ています。明日5月6日朝の業務開始前に、全PCのWindows Update適用とVPN・境界機器の状態確認を行ってください。

NEWS 01
JPCERT/CC・Microsoft | 2026年4月14日公開

Windows IKE拡張に CVSS 9.8 のリモートコード実行脆弱性、認証不要で悪用可能

2026年4月14日に公開された月例セキュリティ更新プログラム(Patch Tuesday)で、MicrosoftはCVE-2026-33824として「Windows インターネット キー交換(IKE)サービス拡張機能のリモートコード実行脆弱性」を修正しました。CVSS基本値は9.8、攻撃成立に認証もユーザー操作も必要としません。攻撃者は細工したIKEパケットをUDP 500番ポートまたはNATトラバーサルの4500番ポートに送るだけで、任意のコードを実行できる可能性があります。

影響範囲はWindows Server 2016〜2025、Windows 10、Windows 11と広く、IPSec/IKEv2 VPNを終端する用途で IKE サービスを有効化しているサーバーが特に危険です。ZDIなどの解析では「ワーマブル(自己拡散可能)」と評価されており、未適用の場合はGW明けに最優先で対応すべき脆弱性です。同月にはCVE-2026-33825(Microsoft Defenderの特権昇格、悪用確認済み)、CVE-2026-32201(SharePoint Serverのなりすまし、悪用確認済み)も同時に修正されています。

▌中小企業への影響

Windows ServerでIKE経由のVPNを終端している企業(拠点間VPN・在宅VPN)が直撃します。WSUSやMSP任せで月例パッチ運用がGW中に止まっていた場合、攻撃者がインターネット側から直接侵入できる状態が連休中ずっと放置されていた可能性があります。

▌推奨対応(明日5月6日中に着手)
  • Windows Server・クライアントすべてに2026年4月分の累積更新が当たっているか確認する(設定→更新とセキュリティ→更新の履歴)
  • VPN終端用のWindows ServerでIKEEXTサービスが有効か確認し、未使用なら停止する
  • 外部に公開しているUDP 500/4500番ポートをファイアウォールで送信元IP制限し、不要なら閉じる
  • Defender定義ファイルとSharePoint Server(自社運用の場合)のパッチ適用も同時にチェックする

NEWS 02
アルプスアルパイン株式会社 | 2026年4月27日公表

アルプスアルパイン、外部VPN経由で社内サーバーに不正アクセス、役員・従業員等の個人情報が閲覧された可能性

電子部品大手のアルプスアルパイン(東証プライム)は2026年4月27日、同社が利用する外部VPNシステムが第三者から不正アクセスを受け、社内サーバーに保管していた個人情報が外部から閲覧された可能性があると発表しました。発端は3月18日、保守管理を委託している事業者から不正アクセスの痕跡について連絡を受けたことです。4月13日に、委託事業者の調査で社内サーバーへの侵入も判明しました。

閲覧された可能性のある情報は、同社およびグループ会社の役員・従業員(退職者を含む)、委託先企業の一部従業員のログインID(社員番号を一部含む)、氏名、会社メールアドレス、役職、部門名、システムIDです。パスワードは暗号化して管理されており、不正取得は確認されていません。顧客情報・取引先情報への影響も現時点では確認されていないとしています。

同社は、関係者を装った不審なメールや電話への注意を呼びかけています。VPNを侵入口とするインシデントは2026年に入っても国内大手で連続しており、4月9日には日本郵船でも同様の事案が公表されています(NEWS 03)。

▌中小企業への影響

大手取引先が侵害されると、サプライヤー側のメールアドレスや担当者氏名が攻撃者の手に渡り、なりすましメールや請求書詐欺の起点として悪用されます。アルプスアルパインの取引先である中小製造業は、向こう数か月のなりすましフィッシングに警戒が必要です。また「自社のVPN製品は大丈夫か」を確認する好機でもあります。

▌推奨対応
  • VPN製品(Fortinet・Palo Alto・Cisco・SonicWall等)のファームウェアを最新版に更新済みか確認する
  • VPN認証に多要素認証(MFA)を導入する。IDとパスワードのみの運用は脱却する
  • 取引先からの「振込先変更」「請求書再送」メールは電話で必ず本人確認を取る運用をルール化する
  • VPNアクセスログを過去3か月分保管し、不審なIP・時間帯のアクセスを定期的に確認する

NEWS 03
日本郵船株式会社 | 2026年4月9日公表

日本郵船、船舶燃料調達システムに不正アクセス、社員と取引先の個人情報が外部に持ち出された可能性

日本郵船は2026年4月9日、同社グループが利用する船舶燃料調達システムで第三者による不正アクセスが発生し、個人情報を含む一部のデータが外部に持ち出された可能性があると公表しました。攻撃の発生は2026年3月24日午後で、検知後ただちにシステムをネットワークから隔離・停止し、3月27日に復旧。同日に個人情報保護委員会など各国当局へ速報、3月31日に所轄警察へも報告しています。

持ち出された可能性がある情報は、日本郵船の社員(退職者を含む)と取引先企業の社員に関する情報で、氏名・会社名・電話番号・メールアドレスの一部または全部です。データの暗号化や金銭要求は確認されておらず、ランサムウェア攻撃ではないと同社は説明しています。二次被害も現時点では確認されていません。

本件は社内ネットワークそのものではなく、グループ会社が利用する業務システム(燃料調達)が標的になったケースです。「自社のメインシステムは守れていても、調達・請求・人事などの周辺SaaSや委託システムから情報が抜かれる」という侵害パターンが2026年も続いています。

▌中小企業への影響

中小企業でも、給与計算・受発注・在庫管理などをクラウドサービスや外部委託システムに任せていれば同じ構図です。本体が無事でも、委託先経由で社員・取引先のメールアドレスや電話番号が流出し、その後フィッシングや還付金詐欺に悪用される事例が増えています。

▌推奨対応
  • 自社が利用している外部SaaS・委託システムを一覧化し、それぞれが保管している個人情報の種類を把握する
  • 各サービスのMFA設定状況を確認し、未設定なら有効化する
  • 委託先のセキュリティインシデント発生時の通知義務を契約書で確認する
  • 退職者のアカウント無効化漏れがないかをGW明けに棚卸しする

NEWS 04
IPA(独立行政法人 情報処理推進機構)| 2026年4月20日公表

IPA「2026年度ゴールデンウィーク注意喚起」、ネットワーク貫通型攻撃に明日からの業務再開で要注意

IPAは2026年4月20日、ゴールデンウィークの長期休暇に向けた情報セキュリティ注意喚起を公表しました。中心にあるのは「ネットワーク貫通型攻撃」、つまりルーター・VPN機器など境界に置かれているセキュリティ製品の脆弱性を突いた攻撃への警戒です。今回のNEWS 01〜03はまさにこのパターンに該当します。

連休明けに想定すべき他の脅威として、社長や上司を装った詐欺メール、クラウドサービスの認証情報を狙うフィッシングメールが挙げられています。長期休暇中はシステム管理者の対応が遅れがちで、検知から実対応までの空白時間が長くなることが被害拡大の要因と説明されています。

長期休暇明け(5月6日〜)にシステム管理者が確認すべき項目

項目 確認内容
修正プログラムの適用 OS(Windows・macOS)、業務ソフト、VPN・ルーターのファームウェアが最新版か。特にCVE-2026-33824は最優先
定義ファイルの更新 ウイルス対策ソフトの定義ファイルが最新になっているか。連休中に止まっていた端末は要再起動
各種ログの確認 VPN・ファイアウォール・サーバーのアクセスログに不審なIP・国外からの接続・大量失敗ログイン等がないか
不審メールの一斉点検 連休中に届いた「請求書」「振込先変更」「社長からの依頼」メールを未開封のままセキュリティ担当へ転送する運用周知
▌中小企業への影響

専任のシステム管理者がいない中小企業ほど、休暇明けの「とりあえず業務再開」で検知が後回しになります。攻撃者はGW中に侵入の足場を作り、業務再開で混雑する5月7日〜8日のタイミングで本格的な内部侵害や情報持ち出しを行うパターンが定着しています。

▌推奨対応(5月6日朝の業務開始前にチェック)
  • 朝一番でVPN機器のメーカーサイトに最新ファームウェアの公開状況を確認する
  • 従業員にメール開封前の心構えを社内通知で送る(「振込先変更・社長指示・添付ファイルは電話確認」)
  • Microsoft 365・Google Workspace等のサインインログで連休中の不審なログインがないか確認する
  • バックアップが連休中も正常に取れていたか、最新世代の復元テストを月内に1回行う

編集部まとめ

今号の4本に共通するキーワードは「境界の穴」です。Windows IKEのCVE-2026-33824、アルプスアルパインの外部VPN、日本郵船の委託システム——いずれも組織の中と外をつなぐ境界の脆弱な部分が侵入口になっています。中小企業も例外ではなく、自社のVPN・SaaS・委託システムの一つひとつに対して「最新パッチ・MFA・ログ監視」の三点セットが揃っているかを5月6日〜10日の間に棚卸ししてください。

明日の業務開始前に最低限やるべきは、(1)全PCの4月分Windows Update適用確認、(2)VPN機器のファームウェア確認、(3)連休中の不審ログイン・不審メール点検の3つです。来週号もお読みください。

参考情報

  • JPCERT/CC 注意喚起 at260010「2026年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起」
  • NIST NVD「CVE-2026-33824 - Windows IKE Service Extensions Remote Code Execution Vulnerability」
  • アルプスアルパイン株式会社「外部VPNシステムへの不正アクセスについて」(2026年4月27日)
  • 日本郵船株式会社「個人情報漏えいについて」(2026年4月9日)
  • IPA「2026年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」(2026年4月20日)


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

MENU