【セキュリティニュース】2026年5月9日号|Apache HTTP Server 2.4にHTTP/2のRCE脆弱性CVE-2026-23918・Ivanti EPMMの新ゼロデイCVE-2026-6973が攻撃確認・東北大学病院で治験患者情報が漏えいのおそれ

本日押さえるべき重要ニュースを3本まとめます。第一に、Apache HTTP Server 2.4系でHTTP/2のmod_http2に二重解放の脆弱性CVE-2026-23918(CVSS 8.8)が公開され、JPCERT/CCが5月8日に注意喚起を発出しました。攻撃者が不正なHTTP/2フレームを送るだけでDoS、条件次第ではリモートコード実行も可能です。第二に、Ivanti Endpoint Manager Mobile(EPMM)に新たなゼロデイ脆弱性CVE-2026-6973が公表され、限定的ながら既に攻撃が確認されています。米CISAは連邦機関に3日以内の修正を命令しました。第三に、東北大学・東北大学病院は教員PCを踏み台にした不正アクセスにより、治験業務用NASに保存されていた患者の個人情報が漏えいした可能性があると公表しました。Webサーバ、モバイルデバイス管理、社内NASの3点をこの週末から来週にかけて点検してください。

NEWS 01
JPCERT/CC・JVN・Apache Software Foundation | 2026年5月8日注意喚起

Apache HTTP Server 2.4にHTTP/2のRCE脆弱性CVE-2026-23918(CVSS 8.8)、JPCERT/CCが5月8日に注意喚起、2.4.66から2.4.67へ即時更新を要請

JPCERT/CCは2026年5月8日、Apache HTTP Server 2.4系における複数の脆弱性に対する注意喚起(JVNVU#99705957)を発出しました。最も深刻なのはmod_http2モジュールに存在する二重解放の脆弱性CVE-2026-23918(CVSS 8.8、Important)で、認証なしの遠隔の攻撃者が不正なHTTP/2フレームを送信することによりワーカープロセスをクラッシュさせ、DoS状態を引き起こせます。Debian系ディストリビューションや公式httpd Dockerイメージなど、メモリ配置が予測しやすい一部の環境では、リモートコード実行(RCE)にエスカレーションされる可能性も指摘されています。

CVE-2026-23918は、HTTP/2のHEADERSフレームに続けてエラーコード非ゼロのRST_STREAMフレームを送ると、ストリームクリーンアップ処理(h2_mplx.c)で二重解放が発生する問題です。再現性が高く、TCP接続1本あたりHTTP/2フレーム2個でクラッシュを誘発できるとされています。今回の注意喚起では他にも、mod_rewriteの権限昇格(CVE-2026-24072)、mod_proxy_ajpのバッファオーバーフロー(CVE-2026-28780)、mod_mdのOCSP応答処理不備(CVE-2026-29168)、mod_dav_lockのNULLポインタ参照(CVE-2026-29169)、mod_auth_digestのタイミング攻撃(CVE-2026-33006)、mod_authn_socacheのNULLポインタ参照(CVE-2026-33007)が含まれています。

影響を受けるバージョンはApache HTTP Server 2.4.66で、修正版は2.4.67として2026年5月8日にリリースされました。Apache Software Foundationおよび各ディストリビューションは速やかなアップデートを呼びかけています。なおCVE-2026-23918は2.4.66固有の脆弱性で、2.4.65以前のバージョンは影響を受けません。

▌中小企業への影響

自社のWebサイト・社内ポータル・APIサーバーがApache HTTP Serverを利用している場合、最新の2.4.66に更新したばかりの環境が最も危険です。社外公開サーバーであれば認証不要の遠隔DoSが成立するため、サービス停止リスクが極めて高くなります。レンタルサーバー、VPS、クラウドのマネージドサービスを利用している場合も、提供事業者の対応状況によっては影響を受けます。HTTP/2を有効化している環境(多くのHTTPSサイト)が攻撃面となります。

▌推奨対応(48時間以内)
  • 自社のWebサーバーで動いているApache HTTP Serverのバージョンをhttpd -vまたはapachectl -vで確認する
  • 2.4.66を運用している場合は2.4.67以降へ即時アップデートする。各ディストリ(RHEL系・Debian系・SUSE系)のセキュリティアップデートで配信されている
  • 即時更新が困難な場合の暫定対応として、設定ファイルでHTTP/2を一時的に無効化(Protocols http/1.1に変更)してDoSの主要経路を塞ぐ
  • レンタルサーバー・マネージドホスティングを利用している場合は、提供元事業者に「JVNVU#99705957(CVE-2026-23918)の対応状況」「適用予定日時」を文書で確認する
  • WAF(Cloudflare、AWS WAF、Imperva等)を利用している場合は、HTTP/2関連の異常パターンを検知するルールが提供されていないか確認する

NEWS 02
Ivanti・米CISA | 2026年5月8日アドバイザリ公開・KEV登録

Ivanti Endpoint Manager Mobile(EPMM)に新ゼロデイCVE-2026-6973、攻撃確認・CISAは米連邦機関に3日以内の修正を命令

米Ivantiは2026年5月8日、Endpoint Manager Mobile(EPMM)に対するセキュリティアップデートを公開し、5件の高深刻度脆弱性を修正しました。このうちCVE-2026-6973は入力検証の不備に起因する脆弱性で、管理者権限を持つ遠隔の認証済み攻撃者により任意のコード実行が可能となります。Ivantiは「ごく限られた数の顧客がCVE-2026-6973によって悪用された事例を把握している」と明言しており、ゼロデイとして悪用が確認されています。

影響を受けるのはEPMM 12.8.0.0以前のバージョンで、修正版は12.6.1.1、12.7.0.1、12.8.0.1としてリリースされました。同時公開された他の脆弱性は、CVE-2026-5786・CVE-2026-5788(不適切なアクセス制御)、CVE-2026-5787・CVE-2026-7821(不適切な証明書管理)です。米CISAはCVE-2026-6973を既知の悪用脆弱性カタログ(KEV)に追加し、米連邦民生機関に対して3日以内(一部報道では4日以内)の修正を命令しています。

Ivanti EPMMは企業のスマートフォン・タブレットを集中管理するMDM製品で、デバイスの構成プロファイル・証明書・アプリ配信を握る基盤に位置します。攻撃が成立すれば、組織内の全モバイル端末に対する設定変更や悪意あるアプリの押し込みが原理的に可能になります。なお過去にもIvanti EPMMでは2026年1月に別のゼロデイ(CVE-2026-1281、CVE-2026-1340)が悪用された実績があり、今年だけで複数回ゼロデイが攻撃に使われている構図です。

▌中小企業への影響

EPMMを直接導入している中小企業は限定的ですが、業務委託先・親会社・グループ会社経由でMDMの管理下に入っているケースは少なくありません。EPMMが侵害されると、配下のモバイル端末に攻撃者が任意のアプリやプロファイルを配信でき、業務利用しているスマートフォンの情報・通信が監視対象になりえます。MDMを利用しているか不明な場合は、自社の情報システム部門・委託先に「会社支給のスマートフォンに導入されているMDM製品名」を確認してください。

▌推奨対応
  • 自社・委託先・親会社が利用しているMDM製品を確認し、Ivanti EPMMを利用している場合は12.6.1.1・12.7.0.1・12.8.0.1のいずれかに即時更新する
  • EPMM管理コンソールへの管理者アカウントを棚卸しし、不要な管理者権限の付与を解除する。多要素認証(MFA)の有効化を必須とする
  • EPMM管理コンソールはインターネット直結ではなく、VPN経由・特定IP制限の下で運用する設計に改める
  • 過去30日間のEPMM管理ログ・配信ログを点検し、不審な構成プロファイル配信・アプリ配信が記録されていないか確認する
  • EPMM以外(Microsoft Intune、Jamf、VMware Workspace ONE等)に乗り換え済みの場合も、現行MDMの管理者アカウント・配信ログ点検を同じ基準で実施する

NEWS 03
東北大学・東北大学病院 | 2026年5月1日公表

東北大学・東北大学病院、教員PCを踏み台にした不正アクセスで治験患者情報が漏えいのおそれ、NAS上の臨床試験資料が対象

東北大学および東北大学病院は2026年5月1日、同大学が管理するサーバーへの不正アクセスについて報告書を公表しました。不正アクセスが最初に確認されたのは2026年4月16日で、調査の進展により4月23日には、東北大学病院の治験業務用ファイルを保管していたNAS(ネットワークストレージ)にも不正アクセスがあったことが判明しています。

攻撃経路は、東北大学の教員のPCが不正利用され、そのPCを踏み台として情報機器・サーバ群へアクセスされたとみられています。漏えいの可能性がある情報は、治験に参加した患者の氏名・住所などの個人情報および治験の手順書等の資料です。現時点では具体的な漏えい件数は特定されておらず、調査が継続中です。同大学は4月24日に一部業務システムのパスワードリセットおよび学内ネットワークの一部セグメントの切り離しを実施し、不正アクセスのあったNASは現在ネットワークから切り離して通信を遮断しています。他の医療情報システムへの影響は確認されておらず、病院は通常通り運営されています。

本件は、エンドポイント(教員PC)を起点に内部のファイルサーバ・NASまで侵入が拡大した典型的なラテラルムーブメント事例です。学内・社内のネットワーク設計でファイル共有領域がフラットに見えていると、PC1台の侵害がそのまま機微データへの到達に直結します。中小企業でも、共有フォルダや業務データを保存しているNASがエンドポイント経由で侵害される構図は同じです。

▌中小企業への影響

業務PCがマルウェアに感染すると、PC利用者の権限でアクセスできる社内NAS・ファイルサーバーがそのまま侵害対象になります。アクセス権限を「全社員が全フォルダ閲覧可」に近い設定で運用していると、PC1台の侵害で会社の機微データが一気に流出します。治験データのような機微度の高い情報を扱う中小医療系・製薬系・受託研究系企業は、本件が直接的な参考事例になります。一般中小企業でも、設計図・顧客名簿・契約書原本・人事データなどが同様の構図で漏えいする可能性があります。

▌推奨対応
  • 社内NAS・ファイルサーバーのアクセス権を部署単位・プロジェクト単位の最小権限に設計し直す。退職者・異動者の権限が残っていないか棚卸しする
  • 機微情報を保存する共有フォルダは、別セグメント・別認証ドメインに分離するか、暗号化された専用領域に移す
  • EDR(Endpoint Detection and Response)を導入し、PC上での不審な挙動(横方向通信・大量ファイル参照)を検知できる体制を整える
  • NAS・ファイルサーバーに対するアクセスログを30日以上保管し、深夜・休日の大量アクセス、普段使わないPCからの参照を週次で確認する
  • 標的型メール訓練を年2回以上実施し、PCが感染するリスクそのものを下げる教育を継続する

5月9日〜16日に着手すべき確認項目

今号で取り上げた3件すべてが、中小企業の情報システム担当者が今週中にカバーすべき項目です。1項目あたり半日〜1日で実行可能です。

優先度 項目 確認内容
最優先 Apache HTTP Serverの更新 自社・委託先のWebサーバーが2.4.66で動作している場合、48時間以内に2.4.67へ更新する。HTTP/2の一時無効化を暫定対応として検討する
最優先 Ivanti EPMMの更新 EPMM導入企業はCVE-2026-6973(ゼロデイ攻撃確認済)に対し12.6.1.1・12.7.0.1・12.8.0.1への即時更新を行う。MDM管理者MFAの有効化を確認する
NAS・共有フォルダの権限棚卸し 東北大学事案を踏まえ、自社NASのアクセス権限を最小権限に再設計する。退職者・異動者の権限残留がないか確認する
エンドポイントの感染検知体制 業務PCがマルウェアに感染した際の検知・初動手順を再確認する。EDR・アンチウイルスのログが取得・確認されているか点検する
HTTP/2有効サイトの可視化 自社が運用するHTTPSサイトのうち、HTTP/2が有効なものを一覧化する。WAFのHTTP/2関連検知ルールの提供状況を確認する

編集部まとめ

今号の3本に共通するのは「攻撃者は基盤製品の最新パッチ未適用」と「侵入後の横展開」を狙う、という二つの構図です。Apache HTTP ServerもIvanti EPMMも、パッチ公開と前後して攻撃が可視化されており、対応の遅れが直接被害に直結します。東北大学事案は、エンドポイントの侵害が共有ストレージへ拡大するラテラルムーブメントの典型例です。

今週は(1)Apache HTTP Server 2.4.66の即時更新、(2)Ivanti EPMM利用有無の確認と更新、(3)NAS・共有フォルダの権限再設計、の3点を必ず着手してください。いずれも、侵入されてから被害が拡大する経路を塞ぐ施策です。

参考情報

  • JPCERT/CC・JVN「JVNVU#99705957: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート(2026年5月)」(2026年5月8日)
  • The Apache Software Foundation「Apache HTTP Server 2.4 vulnerabilities」(CVE-2026-23918他)
  • The Hacker News「Critical Apache HTTP/2 Flaw (CVE-2026-23918) Enables DoS and Potential RCE」(2026年5月)
  • Ivanti Security Advisory「May 2026 EPMM Security Update」(2026年5月8日)
  • Help Net Security「Ivanti EPMM vulnerability exploited in zero-day attacks (CVE-2026-6973)」(2026年5月8日)
  • BleepingComputer「Ivanti warns of new EPMM flaw exploited in zero-day attacks」(2026年5月8日)
  • SecurityWeek「Ivanti Patches EPMM Zero-Day Exploited in Targeted Attacks」(2026年5月8日)
  • 東北大学「本学への不正アクセスについてのご報告とお詫び」(2026年5月1日)
  • Security NEXT「サーバやNASに第三者がアクセス - 東北大や同大病院」(2026年5月)
  • セキュリティ対策Lab「東北大学・東北大学病院、教員PCを踏み台とした不正アクセスで治験患者の個人情報が漏洩のおそれ」(2026年5月)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です