本日は3本のニュースを取り上げます。先週から注意喚起が続いていたPalo Alto Networks PAN-OSのゼロデイ脆弱性(CVE-2026-0300)の修正パッチが、本日5月13日から段階的に提供開始されました。Palo Alto製品を運用している場合は今日中に適用を進めてください。マネーフォワードのGitHub不正アクセス事案は5月11日に続報が公開され、ビジネスカード情報370件の漏えい可能性と銀行口座連携機能の停止継続が明らかになっています。また昨日5月12日にMicrosoftの5月月例パッチが公開され、深刻な脆弱性への対応が求められています。
NEWS 01
IPA/Palo Alto Networks | 2026年5月8日注意喚起・5月13日パッチ公開
【本日対応】Palo Alto PAN-OS ゼロデイ脆弱性CVE-2026-0300、修正パッチの第1弾が本日5月13日から提供開始
IPAは2026年5月8日、Palo Alto Networks製ファイアウォールOS「PAN-OS」に深刻な脆弱性(CVE-2026-0300)が存在するとして緊急の注意喚起を発しました。この脆弱性はUser-ID Authentication Portal(Captive Portal)に存在するバッファオーバーフローで、インターネットに公開されたファイアウォールに対して、認証なしにroot権限でのリモートコード実行(RCE)が可能です。CVSSスコアは9.3(Critical)で、Palo Alto Networks自身が野生での悪用を確認しています。
攻撃は2026年4月9日から始まっていることが確認されており、Palo Alto NetworksのUnit 42脅威インテリジェンスチームが追跡するクラスター「CL-STA-1132」は、使用ツールや手法から中国系の国家支援脅威アクターによる攻撃の可能性が高いと分析しています。nginxワーカープロセスへのシェルコード注入が確認されており、侵害後はネットワーク内部への横展開に悪用されているとみられます。なお、Prisma Access・Cloud NGFW・Panorama アプライアンスはこの脆弱性の影響を受けません。
Palo Alto Networksは修正パッチを2026年5月13日(第1弾)と5月28日(第2弾)に分けてリリースする予定としており、本日5月13日が第1弾の提供開始日となっています。パッチ適用までの間は、User-ID Authentication Portalへのアクセスを信頼できる送信元IPアドレスのみに制限するか、機能を無効化することが緊急の緩和策として推奨されています。
対象製品と推奨アクション
| 状況 |
対応 |
| Palo Alto製品を運用中 |
本日提供開始の修正パッチをメーカーサイトで確認し、適用計画を即時立案する |
| パッチ適用前の暫定措置 |
User-ID Authentication Portal及びCaptive Portalへのアクセスを信頼IPに制限、または無効化 |
| Prisma Access・Cloud NGFW |
本脆弱性の影響なし。通常運用を継続 |
| 侵害調査が必要な場合 |
nginxワーカープロセスへの不審なシェルコード注入がないかログを確認する |
▌中小企業への影響
Palo Alto製ファイアウォールは中堅・中小企業にも広く導入されています。「設置してあるから安全」という認識が最も危険で、本脆弱性はインターネットに公開されたファイアウォール自体が攻撃対象になります。侵入されると社内ネットワーク全体が踏み台にされるため、被害はPCや端末の感染とは桁違いの規模になり得ます。IT管理をベンダーや委託先に任せている場合は、今日中に「CVE-2026-0300のパッチ対応状況」を確認する連絡を入れてください。
▌推奨対応
- →Palo Alto製品の利用有無をIT担当・委託先に今日中に確認する
- →Palo Alto Networksの公式セキュリティアドバイザリで影響を受けるバージョンを照合し、本日公開のパッチを適用する
- →パッチ適用前は「User-ID Authentication Portal」「Captive Portal」機能を一時無効化するか、アクセス元IPを社内・委託先のみに制限する
- →ファイアウォールのログを4月9日以降の不審な通信(未認証のリモートアクセス試行等)がないか確認する
- →委託先やMSP(マネージドサービスプロバイダー)が管理する機器も対象に含まれることを確認し、対応状況を報告させる
NEWS 02
マネーフォワード 公式発表 | 2026年5月11日続報
マネーフォワードGitHub不正アクセス続報:ビジネスカード情報370件漏えい可能性、「なぜ個人情報がGitHubに」の説明も公開
株式会社マネーフォワードは2026年5月1日、同社グループが開発・システム管理に使用するGitHubへの第三者による不正アクセスを公表しました。5月11日に公開された続報では、被害の詳細と情報管理上の経緯が明らかになっています。
流出の可能性が確認された個人情報は、マネーフォワードケッサイ株式会社が提供する「マネーフォワード ビジネスカード」のカード保持者名(アルファベット表記)及びカード番号の下4桁、合計370件です。クレジットカード番号の全桁・有効期限・セキュリティコード(CVV)については流出が確認されていません。また、本番データベースへの侵害や改ざんはなく、サービスに直結する認証情報や金融機関への連携に必要な情報の流出も確認されていないとしています。
一方で、「なぜ個人情報がGitHubリポジトリに保管されていたか」という疑問に対し、同社は5月11日付の公式説明として「個人情報の取り扱いを伴うサービスの更新作業の過程で、個人情報が含まれたファイルが本来の管理手順から外れ、誤ってGitHub上に保管された」と発表しました。これは本番データを含むファイルがテスト・デバッグ用途で誤ってリポジトリにコミットされた典型的なパターンです。銀行口座連携機能は現時点でも停止継続中であり、再開時期は未定となっています。
被害の概要(5月11日時点)
| 項目 |
内容 |
| 不正アクセス発覚 |
2026年5月1日(第一報公表) |
| 漏えい可能性のある情報 |
ビジネスカード保持者名(アルファベット)・カード番号下4桁:370件 |
| 流出していない情報 |
カード番号全桁・有効期限・CVV・本番DB情報・金融機関連携情報 |
| 個人情報がGitHubに存在した理由 |
サービス更新作業中に本来の管理手順から外れ誤ってコミット |
| 銀行口座連携 |
停止中(再開時期未定) |
▌中小企業への影響
「本番データをテスト用に使い回してしまい、それがリポジトリに混入した」という構図は、開発体制の整っていない中小企業では日常的に起きやすいリスクです。GitHubアカウントが外部に漏れると、リポジトリ内の認証情報・個人情報・APIキーがすべて攻撃者の手に渡ります。自社でシステム開発を行っている場合、ソースコード管理環境の棚卸しは優先度の高いセキュリティ投資です。
▌推奨対応
- →GitHub・GitLab等のソースコード管理アカウントに多要素認証(MFA)を必須設定する
- →リポジトリ内に本番環境の個人情報・APIキー・接続文字列が混入していないか、git履歴まで遡って確認する(gitleaks等のツールが有効)
- →テスト・デバッグ用データに本番の個人情報を使用しない運用ルールを明文化し、開発担当者に周知する
- →マネーフォワードサービスの利用者は、同一パスワードの使い回しがないか確認する(本番DBへの侵害はないが予防として)
- →外部委託で開発している場合も、委託先のGitHub管理体制(MFA有無・アクセス権の棚卸し等)を確認する
NEWS 03
Microsoft MSRC | 2026年5月12日公開
Microsoft 2026年5月月例パッチが昨日公開、CVE-2026-40372(CVSS 9.1 Critical)を含む重要更新
Microsoftは2026年5月12日(米国太平洋時間)に2026年5月の月例セキュリティ更新プログラムを公開しました。今月の更新は、ASP.NETコアのデータ保護暗号化APIに存在する深刻な脆弱性CVE-2026-40372(CVSS 9.1、Critical)への対応を含むほか、過去のアウトオブバンドパッチで提供されたBluehammerエクスプロイト(CVE-2026-33825)対応の統合も含まれています。
今月のパッチ適用環境では、別途重要な期限が迫っています。Microsoftは2011年発行のセキュアブート証明書(Microsoft Corporation KEK CA 2011・Microsoft UEFI CA 2011)が2026年6月に有効期限を迎えると公式ブログで周知しており、更新は基本的にWindows Updateで自動配布されます。ただしWindowsUpdateが手動管理・停止状態の端末や、古いOSを使い続けている端末は自動更新の恩恵を受けられず、6月以降に新しいセキュリティ保護が適用されなくなる可能性があります。
Windows Updateの自動更新を有効にしている一般的な企業では月例パッチは順次適用されますが、システムの安定性を優先してWindowsUpdateを手動管理している環境(製造業の制御系pc、医療機器に接続したPC等)では、IT担当者による手動適用確認が必要です。月例パッチの適用状況は、MSRCのセキュリティ更新ガイドで確認できます。
今月の主な対応内容
| CVE番号 |
内容 |
深刻度 |
| CVE-2026-40372 |
ASP.NETコア データ保護暗号化APIにおける権限昇格の脆弱性 |
Critical(CVSS 9.1) |
| CVE-2026-33825 |
Bluehammer関連のアウトオブバンド修正を統合 |
重要 |
| セキュアブート証明書更新 |
2011年発行の証明書が2026年6月に期限切れ。Windows Update手動管理・停止中の端末は自動更新が必要 |
重要(期限あり) |
▌中小企業への影響
Windows Updateを「業務の邪魔になる」として無効にしている、または「再起動が必要だから後でいい」と先送りしている企業は少なくありません。今月の月例パッチには悪用につながる深刻な脆弱性の修正が含まれており、とくにセキュアブート証明書の更新デッドライン(6月26日)は「気づいたら過ぎていた」では取り返しがつかない性質のものです。Windows Server・業務用PCの更新状況を今週中に確認してください。
▌推奨対応
- →すべての業務PCとサーバーに対し5月月例パッチが適用されているか今週中に確認する(Windows Update ステータス確認)
- →Windows Updateを無効化・手動管理している環境では、IT担当または委託先に即時適用の連絡を入れる
- →セキュアブート証明書の更新は基本的に自動だが、Windows Updateが手動管理・無効の端末は今月中に適用状況を確認し、証明書を2023年版に更新する
- →製造業や医療機器に接続した業務PCで手動管理している場合は、パッチ適用後の動作確認手順も含めて計画する
- →ASP.NETを使ったWebアプリケーション・社内システムがある場合は、CVE-2026-40372の影響範囲をベンダーまたは委託先に確認する
編集部まとめ
本日5月13日は、PAN-OSの修正パッチ第1弾公開という具体的な期限が来た日です。「後でやる」が最もリスクの高い選択肢になっています。Palo Alto製品を導入している場合は、今日中にベンダーまたは委託先のMSPに対応状況を確認してください。
マネーフォワードの事案は「GitHubへのMFAが未設定、かつ本番データが誤ってリポジトリに混入していた」という2段階の管理不備が組み合わさった事案です。自社開発・外部委託を問わず、ソースコード管理環境の棚卸しは今週の課題として検討する価値があります。Microsoft月例パッチも昨日公開されており、セキュアブート証明書の2026年6月期限も含め、5月中に適用確認を完了させることが今週の最重要タスクです。
参考情報
- IPA「Palo Alto Networks製PAN-OSの脆弱性対策について(CVE-2026-0300)」2026年5月8日
- ScanNetSecurity「Palo Alto Networks 製 PAN-OS にバッファオーバーフローの脆弱性」2026年5月11日
- Palo Alto Networks Security Advisory「CVE-2026-0300 PAN-OS: Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID Authentication Portal」
- 株式会社マネーフォワード「GitHub への不正アクセスに関する調査進捗および銀行口座連携再開に向けた経過のご報告(第二報)」2026年5月11日
- ITmedia NEWS「マネーフォワード『なぜGitHubに個人情報が含まれていたか』を説明」2026年5月11日
- Microsoft MSRC「2026年5月のセキュリティ更新プログラム(月例)」2026年5月12日
- Help Net Security「May 2026 Patch Tuesday forecast: AI starts driving security industry changes」2026年5月8日
secure