ゴールデンウィークの最終日。連休中に積み上がった4本のニュースをまとめます。第一に、Windowsに認証不要・CVSS9.8のリモートコード実行脆弱性(CVE-2026-33824)が4月の月例パッチで修正されました。第二・第三に、アルプスアルパインと日本郵船で外部VPN・委託先システム経由の不正アクセスが立て続けに公表されています。第四に、IPAから長期休暇明けに必ず実施すべきチェック項目が出ています。明日5月6日朝の業務開始前に、全PCのWindows Update適用とVPN・境界機器の状態確認を行ってください。
編集部まとめ
今号の4本に共通するキーワードは「境界の穴」です。Windows IKEのCVE-2026-33824、アルプスアルパインの外部VPN、日本郵船の委託システム——いずれも組織の中と外をつなぐ境界の脆弱な部分が侵入口になっています。中小企業も例外ではなく、自社のVPN・SaaS・委託システムの一つひとつに対して「最新パッチ・MFA・ログ監視」の三点セットが揃っているかを5月6日〜10日の間に棚卸ししてください。
明日の業務開始前に最低限やるべきは、(1)全PCの4月分Windows Update適用確認、(2)VPN機器のファームウェア確認、(3)連休中の不審ログイン・不審メール点検の3つです。来週号もお読みください。
参考情報
- JPCERT/CC 注意喚起 at260010「2026年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起」
- NIST NVD「CVE-2026-33824 - Windows IKE Service Extensions Remote Code Execution Vulnerability」
- アルプスアルパイン株式会社「外部VPNシステムへの不正アクセスについて」(2026年4月27日)
- 日本郵船株式会社「個人情報漏えいについて」(2026年4月9日)
- IPA「2026年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」(2026年4月20日)
