今週の重要ポイント3点:
① トレンドマイクロのエンドポイント製品(Apex One等)に深刻な脆弱性—攻撃者による悪用が実際に確認されており、至急パッチ適用が必要。
② 象印マホービンの台湾子会社がサイバー攻撃を受け、顧客情報や従業員のパスポート情報が流出した可能性。海外拠点を持つ企業はグループ全体のセキュリティ管理を再確認。
③ Microsoftが5月の月例更新で118件の脆弱性にパッチを提供。権限昇格57件・リモートコード実行29件を含み、未適用の環境は優先的に対応が必要。
NEWS 01
出典: JPCERT/CC(at260014) / トレンドマイクロ
緊急
トレンドマイクロ製品の脆弱性(CVE-2026-34926)—攻撃への悪用を確認、直ちにパッチ適用を
2026年5月21日、JPCERT/CCはトレンドマイクロ株式会社のエンドポイント向け製品に存在する複数の脆弱性に関する注意喚起(at260014)を公開した。対象製品は TrendAI Apex One(オンプレミス版)、Trend Micro Apex One as a Service、TrendAI Vision One Endpoint Security — Standard Endpoint Protection の3製品。
このうち特に深刻なのが、相対パストラバーサルの脆弱性 CVE-2026-34926 だ。本脆弱性を悪用するにはApex Oneサーバーへの管理者権限が前提となるが、その権限を何らかの方法(フィッシング等)で取得した攻撃者がサーバーのキーテーブルを改ざんし、管理下のすべてのエンドポイントエージェントに悪意のあるコードを配布したり、権限昇格を行ったりできる。トレンドマイクロ社は「TrendAI Apex One(オンプレミス版)においてCVE-2026-34926を悪用した攻撃が確認されている」と明言している。
管理者アカウントが1つ侵害されるだけで、社内のすべての端末に一斉悪意コードが展開されるリスクがあることから、エンドポイント保護製品を管理するアカウントのセキュリティ強化も併せて見直すことが重要だ。
■ 中小企業への影響
Apex Oneを導入しているすべての組織が対象となる。セキュリティ製品が侵入の足がかりにされるリスクがある。管理コンソールのメンテナンスを外部のIT業者に委託している場合でも、速やかに対応状況を確認すること。
NEWS 02
出典: Security NEXT / 読売テレビ(2026年5月15日)
注意
象印マホービン台湾子会社へのサイバー攻撃—顧客情報・従業員パスポート情報が流出の可能性
象印マホービン株式会社は2026年5月15日、台湾の子会社「台湾象印」が2026年4月13日にサイバー攻撃を受け、管理する情報が流出した可能性があると発表した。ダークウェブ上に「台湾象印のサーバーをハッキングし、機密情報を奪った」という内容の文章が掲載されていることが確認されており、5月11日時点で個人情報漏えいの可能性が判明した。
漏えいした可能性がある情報は、台湾国内の顧客に関する氏名・メールアドレス等のほか、一部の台湾駐在従業員に関するパスポート情報・財務情報とされている。クレジットカード情報や日本国内の顧客情報への影響はないとしている。
本事案は、海外拠点が攻撃の起点となり、本体企業の情報資産が損なわれるパターンの典型例だ。国内本社のセキュリティ水準が高くても、海外子会社が弱点になるケースが増加している。
■ 中小企業への影響
海外に子会社・拠点・業務委託先を持つ企業は、同様のリスクを抱えている。従業員のパスポート情報のような人事データが被害を受けている点は、セキュリティ管理の対象が「顧客データ」だけではないことを示す。委託先・関連会社を含むサプライチェーン全体のセキュリティ点検が求められる。
■ 推奨対応
- → 海外子会社・関連会社のサーバー・ネットワーク機器のパッチ適用状況を確認する
- → 海外拠点のアカウント管理(多要素認証・パスワードポリシー)を国内基準に合わせる
- → 業務委託先にセキュリティポリシーの遵守状況確認アンケートの実施を検討する
- → 従業員の個人情報(パスポート・住所等)の保存・管理場所を棚卸しし、アクセス制限を徹底する
NEWS 03
出典: IPA(2026年5月13日)/ JPCERT/CC(at260012)/ Security NEXT
重要
Microsoft 5月月例更新—118件の脆弱性にパッチ、権限昇格57件・リモートコード実行29件
Microsoftは2026年5月13日(日本時間)、2026年5月の月例セキュリティ更新プログラムをリリースした。今回は 118件 の脆弱性に対応しており、内訳は権限昇格(Elevation of Privilege)が57件、リモートコード実行(RCE)が29件、情報漏えいが9件、サービス拒否(DoS)が8件などとなっている。
対象製品はWindows、Office、SharePoint、Microsoft Dynamics 365、Teams、SQL Server、ASP.NET、.NET、Azure、Visual Studio、Copilotと広範にわたる。IPAおよびJPCERT/CCはともに注意喚起を公開し、速やかな更新プログラムの適用を推奨している。
■ 中小企業への影響
Windowsを使用しているほぼすべての企業が対象となる。更新プログラムの適用が個別PC任せになっているケースが多く、未適用の端末が残りやすい。Teams・SharePoint・SQL Serverなどのサーバー系製品も対象のため、クラウドサービスを含む環境全体の確認が必要だ。
■ 推奨対応
- → Windows Updateを実行し、2026年5月の更新プログラムが適用済みであることを確認する
- → Microsoft Officeの更新プログラムも別途確認する(ファイル→アカウント→更新オプション)
- → SQL Server、SharePoint Serverをオンプレミスで運用している場合、管理者に本月のパッチ適用を依頼する
- → Microsoft Teamsのデスクトップアプリの自動更新を有効にし、最新版を確認する
NEWS 04
出典: JPCERT/CC(at260011)/ IPA(2026年5月13日)
対応推奨
Adobe Acrobat/Readerに脆弱性(APSB26-44)—悪意PDFを介した任意コード実行の恐れ
2026年5月13日、AdobeはAcrobat/Readerに関するセキュリティアップデート(APSB26-44)をリリースし、複数の脆弱性に対応した。JPCERT/CCは注意喚起(at260011)を公開し、対象バージョンを使用しているユーザーに速やかなアップデートを求めている。
今回対応された脆弱性の中には、悪意のあるPDFファイルを介して任意のコードが実行される可能性があるものが含まれている。現時点でAdobeは野生の攻撃(ゼロデイ悪用)を確認していないが、パッチ適用前の端末は今後の標的型攻撃に利用されるリスクがある。攻撃者がメールにPDFを添付して送りつけるフィッシング攻撃のペイロードとして悪用される手口が一般的だ。
■ 中小企業への影響
Adobe Acrobat/Readerを使用しているすべての端末が対象。取引先からのPDFを多く扱う部署(総務・経理・営業)では注意が必要。無償版のAdobe Acrobat Readerも対象のため「有料製品を使っていないから関係ない」とは言えない。
■ 推奨対応
- → Adobe Acrobat/Readerを起動し、ヘルプ→アップデートの有無をチェックから最新版に更新する
- → 自動アップデートが有効になっているか確認する(編集→環境設定→アップデーター)
- → 社内のAdobe製品バージョンを管理台帳で把握し、旧バージョンが残っていないか確認する
編集部まとめ
今週最も優先度が高いのはトレンドマイクロApex Oneへのパッチ適用だ。攻撃が実際に確認されており、放置は危険。Microsoftの118件、Adobe Acrobatの更新も合わせて対応し、「パッチ適用週間」として一括処理することを勧める。象印の事案は、海外拠点・委託先のセキュリティが自社リスクに直結することを改めて示している。サプライチェーン全体を視野に入れたセキュリティ管理が今後さらに重要になる。
secure