2026年5月21日号
今号は4本のニュースを取り上げます。5月のMicrosoft月例パッチは138件(緊急30件)で、ゼロデイはないものの早期適用が必要です。Palo Alto PAN-OSの深刻な脆弱性(CVE-2026-0300、CVSS 9.3)が実際に悪用されており、同製品を使用している組織は即時対応を要します。クラウドファンディング「CAMPFIRE」ではGitHub不正アクセスにより最大22.5万人の個人情報が漏えいした可能性があります。また、Adobe Acrobat/Readerにも深刻な脆弱性が修正されています。
NEWS 01
IPA / JPCERT/CC | 2026年5月13日
Microsoft 2026年5月定例パッチ公開、138件の脆弱性を修正(緊急30件)
Microsoftは2026年5月13日(日本時間14日)、月例セキュリティ更新プログラムを公開しました。今月は合計138件の脆弱性に対応しており、そのうち30件が最高深刻度「緊急(Critical)」に分類されています。JPCERT/CCも同日、注意喚起(at260012)を公表し、至急の適用を促しています。
今回の緊急脆弱性はWindows OS、Microsoft Office、SharePoint Server、Azureなど広範な製品に影響します。リモートコード実行(RCE)を可能にする脆弱性が複数含まれており、悪用されるとPCやサーバーを遠隔操作される恐れがあります。ゼロデイ(公開前に悪用が確認された脆弱性)は今月はありませんが、パッチ公開後は攻撃者が差分を解析して悪用コードを作成するため、公開後1〜2週間以内の適用が推奨されています。
IPAも同日、「Microsoft 製品の脆弱性対策について(2026年5月)」を公表しており、特にWindows OSおよびOffice製品を使用しているすべての組織に対して、早急な適用を求めています。
▌中小企業への影響
Windows PCを使用しているすべての組織が対象です。Office製品(Word・Excel・Outlook等)の脆弱性も含まれるため、ファイルを開くだけで感染するリスクがあります。社内に更新が遅れているPCが1台でもあると、横展開攻撃の足がかりになります。
▌推奨対応(今週中に実施)
- →全社PCのWindows Updateを手動実行し、最新パッチが適用済みかを確認する(設定→Windows Update→更新プログラムのチェック)
- →Microsoft 365 / Office製品は自動更新が有効かを確認する(Officeアプリ→ファイル→アカウント→更新オプション)
- →SharePoint Serverを自社運用している場合は管理者がサーバーパッチの適用を確認する
- →適用後に業務上問題がないか1〜2日で確認し、トラブルがあれば切り戻し手順を準備しておく
NEWS 02
IPA / Palo Alto Networks | 2026年5月8日
Palo Alto PAN-OSに深刻な脆弱性(CVE-2026-0300、CVSS 9.3)、実際の悪用を確認
Palo Alto Networksは2026年5月8日、ファイアウォール製品PAN-OSに存在するバッファオーバーフロー脆弱性(CVE-2026-0300)のセキュリティアドバイザリを公開しました。IPAも同日、注意喚起を公表しています。CVSSスコアは最高9.3(Critical)で、攻撃が成功するとルート権限で任意のコードを実行される、つまりファイアウォール装置が完全に乗っ取られる危険があります。
この脆弱性はPAN-OSのUser-ID Authentication Portal(Captive Portal)コンポーネントに存在します。同ポータルがインターネットや信頼できないネットワークから到達可能な状態の場合、認証なしに攻撃パケットを送るだけで悪用が可能です。Palo Alto Networksは「限定的な実際の攻撃悪用を確認した」と明言しており、国家が関与する可能性のある脅威クラスター(CL-STA-1132)による利用も報告されています。
影響を受けるのはPA-SeriesおよびVM-Seriesファイアウォールali>User-ID Authentication Portalを有効化している構成です。Prisma Access、Cloud NGFW、Panoramaアプライアンスは影響を受けません。修正パッチは2026年5月13日以降に順次提供されています。
▌中小企業への影響
Palo Alto製ファイアウォールは中堅・中小企業にも普及しています。Captive Portal(来客用Wi-FiやVPN認証画面)をインターネット向けに公開している構成は特に危険です。悪用されるとファイアウォール自体が攻撃者に制御され、社内通信の盗聴・改ざん・バックドア設置が可能になります。
▌推奨対応(緊急・即日確認)
- →Palo Alto製品を使用しているか、担当者または保守ベンダーに確認する
- →User-ID Authentication PortalがインターネットまたはUntrust(信頼できない)ゾーンに露出していないかを確認する
- →露出している場合は一時的にポータルへのアクセスを信頼済みIPアドレスのみに制限する(Interface Management Profileで設定)
- →PAN-OSの修正バージョンが提供されているか確認し、速やかに適用する(保守ベンダーに依頼する場合は「緊急」として扱うよう伝える)
- →Palo Alto Networks社のサポートページ(security.paloaltonetworks.com)でCVE-2026-0300のアドバイザリを確認する
NEWS 03
株式会社CAMPFIRE | 2026年4月24日発表・5月11日続報
CAMPFIREでGitHub不正アクセス、最大22.5万人の個人情報・口座情報が漏えいの可能性
クラウドファンディングサービス「CAMPFIRE」を運営する株式会社CAMPFIREは2026年4月24日、システム管理用GitHubアカウントへの不正アクセスにより、最大225,846件の個人情報が漏えいした可能性があると発表しました。2026年5月11日には続報も公表されています。
不正アクセスは2026年4月2日に発生し、GitHubのリポジトリ(ソースコード管理システム)に保管されていたシステム用の認証情報(APIキー等)が取得された可能性があります。その後、4月22日の調査で顧客情報管理システムへの外部からの不正アクセス痕跡が確認されました。漏えいした可能性がある情報の内訳は、①プロジェクト起案者・コミュニティオーナー(2021年2月以降):約120,929件(氏名・住所・電話番号・メールアドレス・口座情報含む)、②PayPal・後払い・銀行振込での返金対応を受けた支援者:約130,155件、③CAMPFIREパートナー:1,282件(氏名のみ)、ユニーク件数合計225,846件(このうち82,465件に口座情報が含まれる)です。クレジットカード情報は含まれていないとされています。
この事案は「GitHubに認証情報を誤って保存していた(ハードコード)」という開発管理上のミスが発端です。CAMPFIREはすでに個人情報保護委員会への報告と警察への相談を行っており、2026年4月28日から専用窓口を設置しています。
▌中小企業への影響
CAMPFIREでクラウドファンディングを利用したことがある企業・個人は、登録情報の悪用(フィッシング詐欺、口座不正利用)に注意が必要です。また、自社でもGitHubやソースコード管理ツールにAPIキー・パスワード・接続文字列を直接記載していないか確認することが急務です。この種のミスは中小企業でも頻繁に発生します。
▌推奨対応
- →CAMPFIREの利用者は公式サイトの案内を確認し、不審な連絡・引き落としがないか口座を確認する
- →自社のGitHub・GitLab等のリポジトリに認証情報(パスワード・APIキー・接続文字列)が含まれていないかをキーワード検索("password", "secret", "token" 等)で確認する
- →認証情報が含まれている場合は即座に削除し、該当するシステムのパスワード・キーを再発行する(リポジトリ履歴にも残るため、履歴削除またはキーの失効処理が必要)
- →今後の誤コミット防止に「git-secrets」や「detect-secrets」等のツールの導入を検討する
NEWS 04
Adobe / JPCERT/CC | 2026年4月14日
Adobe Acrobat/Readerに深刻な脆弱性(APSB26-44)、未更新の場合はPDFを開くだけで感染リスク
Adobeは2026年4月14日、Adobe Acrobat/ReaderのセキュリティアップデートAPSB26-44を公開し、JPCERT/CCも注意喚起(at260011)を発出しました。今回の更新には深刻度「Critical(緊急)」の脆弱性(CVE-2026-34622、CVSS 8.6)が含まれており、悪用されると任意のコード実行につながります。またCVE-2026-34626(重要、CVSS 6.3)は任意ファイルの読み取りを可能にします。公開時点でAdobeは悪用を確認していませんが、パッチ公開から1か月以上が経過した現時点でも未適用の組織が多いとみられます。
Adobe Acrobat/Readerは業務でPDFファイルを扱うすべての職場に普及しています。Criticalの脆弱性が存在する状態では、攻撃者が細工したPDFをメール添付で送付し、受信者がファイルを開くだけでマルウェアに感染させることが可能になります。影響を受けるバージョンはAcrobat DC / Acrobat Reader DC(Continuous)の26.001.21411以前です。
▌中小企業への影響
Adobe Acrobat/ReaderはWindowsビジネス環境に広く導入されています。取引先からのPDFや、メールに添付されたPDFを日常的に開く業務では、バージョンが古いままでは攻撃を受けるリスクが高い状態です。特に自動更新を無効化している環境は要注意です。
▌推奨対応
- →Adobe Acrobat/Readerのバージョンを確認する(ヘルプ→Adobe Acrobatについて)。Acrobat DC Continuousの場合は26.001.21411以降が修正済みバージョン
- →最新版でない場合はヘルプ→アップデートの有無をチェック からアップデートを実行する
- →自動更新が有効になっているか確認する(編集→環境設定→アップデーター→自動的にアップデートをインストール)
- →社内に複数台のPCがある場合は全台で更新状況を確認する。IT担当者がいない場合はAdobe公式サイトから手動ダウンロードも可能
編集部まとめ
今号の4本の対応優先度は次の通りです。Palo Alto PAN-OSを使用している場合は即日確認・対処が必要です(悪用が進行中のため)。Microsoft・Adobeのパッチは今週中に全PCで適用済みかを確認してください。CAMPFIRE利用者は口座の不審な動きを確認し、自社のGitHubに認証情報が混入していないかの棚卸しも実施することを勧めます。
「GitHubに認証情報を直書きしない」はセキュリティの基本ですが、開発を外注したり少人数で管理している中小企業では見落とされやすいポイントです。今回のCAMPFIREの事案を機に、自社のリポジトリを点検してください。
参考情報
本記事は公表情報をもとに編集部が整理したものです。詳細は各機関の公式発表をご確認ください。
secure