今号は4本を取り上げます。Microsoftの5月パッチで深刻度「緊急」16件・CVSS 9.8超4件が公開されており、未適用環境は遠隔からの完全制御リスクがあります。トレンドマイクロ製品では脆弱性の実攻撃が確認済みで、JPCERTが緊急注意喚起を出しています。国内では、エネルギー企業への大規模ランサムウェア被害とクラウドファンディング企業のGitHub不正アクセスから合わせて約59万件の個人情報漏えいが相次ぎ確定しました。
NEWS 01
IPA / JPCERT/CC | 2026年5月13日
Microsoft 5月パッチで118件修正、CVSS 9.8超の4脆弱性は認証不要でリモート悪用可
Microsoftは2026年5月12日(日本時間13日)、月例セキュリティ更新プログラムを公開し、118件の脆弱性に対応しました。最大深刻度が「緊急」のものは16件、そのうち4件はCVSSスコア9.8以上で、認証やユーザー操作なしに遠隔からコード実行または権限昇格が可能な深刻な内容です。IPAは同日付で「Microsoft製品の脆弱性対策について(2026年5月)」を公表し、早期適用を呼びかけています。
CVSS 9.8以上の4件の内訳は、Windows DNSクライアントのリモートコード実行(CVE-2026-41096)、Windows NetlogonのRCE(CVE-2026-41089)、Microsoft Dynamics 365オンプレミスのRCE(CVE-2026-42898)、Azure Logic Appsの特権昇格(CVE-2026-42823)です。いずれも攻撃者がネットワーク経由で悪用できる形態で、特にWindows DNSクライアントの脆弱性はWindowsを使用するほぼすべての組織が対象範囲に含まれます。
| CVE番号 |
製品 |
種別 |
CVSSスコア |
| CVE-2026-41096 |
Windows DNSクライアント |
リモートコード実行 |
9.8 |
| CVE-2026-41089 |
Windows Netlogon |
リモートコード実行 |
9.8 |
| CVE-2026-42898 |
Microsoft Dynamics 365(オンプレミス) |
リモートコード実行 |
9.9 |
| CVE-2026-42823 |
Azure Logic Apps |
特権昇格 |
9.9 |
▌中小企業への影響
WindowsとOfficeを使用する組織はすべて対象です。Windows DNSクライアントの脆弱性は特別なソフトウェアや設定を持たない通常のWindows端末でも悪用可能です。また、Dynamics 365をオンプレミス運用している場合は早急なパッチ適用が必要です。パッチ未適用の端末1台が社内ネットワーク内にあるだけで、そこを起点に横展開攻撃を受けるリスクがあります。
▌推奨対応(今週中に実施)
- →Windows Updateを手動実行し「更新プログラムの確認」から2026年5月分のパッチが適用済みであることを確認する
- →社内に複数台のPCがある場合は全端末の更新状況を管理者が一元確認する(Active Directory環境ではWSUSやIntune等で確認)
- →Dynamics 365オンプレミス版を運用している場合は、サーバー側のパッチ適用を担当者が最優先で確認する
- →業務時間中に再起動できない場合は週末に実施するスケジュールを今すぐ設定する
NEWS 02
JPCERT/CC at260014 | 2026年5月21日
トレンドマイクロ Apex One の脆弱性(CVE-2026-34926)、実際の攻撃への悪用を確認
JPCERT/CCは2026年5月21日、トレンドマイクロのエンドポイント向け製品「TrendAI Apex One」「Apex One as a Service」「TrendAI Vision One Endpoint Security」に対する注意喚起(at260014)を公表しました。対象の脆弱性CVE-2026-34926は相対パストラバーサル(CWE-23)で、認証なしのローカル攻撃者がApex Oneサーバー内の制限ディレクトリへのアクセスと重要データベースの変更を通じ、接続されているすべてのエンドポイントエージェントに悪意のあるコードを配布できます。
トレンドマイクロ自身がオンプレミス版で本脆弱性を悪用した実際の攻撃を確認しており、米国CISAも2026年6月4日までの修正対応を連邦機関に義務付けています。セキュリティ製品の管理サーバーが侵害されると、保護対象のすべての端末を一括で攻撃できるという極めて深刻なシナリオが現実のものになっています。
▌中小企業への影響
Apex Oneのオンプレミス版を自社運用している企業が直接の対象です。管理サーバーが侵害されると、そこに接続しているすべての端末が一括でマルウェアに感染するリスクがあります。クラウド版(as a Service)についてもトレンドマイクロ側での対応が求められており、利用中の企業は最新の案内を確認してください。
▌推奨対応(即日対応を推奨)
- →Apex One オンプレミス版を利用中の場合は、トレンドマイクロが公開するパッチを即日適用する
- →Apex One as a Service、Vision One Endpoint Securityを利用中の場合は、ベンダーのサポートサイトで対応状況を確認する
- →パッチ適用前の緊急措置として、Apex Oneの管理サーバーへのアクセスを信頼済みIPアドレスからのみに制限する
- →トレンドマイクロの公式対応サイトと、JPCERT注意喚起(at260014)を参照して最新情報を取得する
NEWS 03
エネサンスホールディングス / ScanNetSecurity | 2026年5月22日
エネサンスHDへのランサムウェア攻撃、約36.5万件の顧客情報漏えいを最終確認
エネサンスホールディングス(LPガス・エネルギー事業)は2026年5月11日、2025年10月21日に受けたランサムウェア攻撃の最終調査結果として、顧客の氏名・住所・電話番号・メールアドレス等、約36万5000件の個人情報漏えいを確認したと公表しました。同時に従業員等の個人情報約2000件の流出も確認されています。2025年11月30日にはダークウェブ上での情報公開が確認されており、漏えい情報の悪用リスクが継続しています。
攻撃者グループ「Qilin(キリン)」が犯行声明を出しています。外部専門家の調査ではインターネットとの接続口から侵入された可能性が高いと報告されており、侵入された後はシステム全体に感染が拡大、サーバーと端末内のデータが暗号化されました。インシデント発生から最終確認まで約7か月を要しており、ランサムウェア被害後の原因解明と被害範囲の確定に時間を要することが改めて示されました。
▌中小企業への影響
エネルギー・インフラ関連企業が重要インフラとして攻撃の標的になっており、同業種のみならず顧客情報を多く持つ企業全般への警告です。「インターネットとの接続口からの侵入」という手口は、ファイアウォールやVPNの設定不備、脆弱性未適用のまま公開されている機器から多数確認されています。自社のネットワーク境界機器の状態確認が急務です。
▌推奨対応
- →インターネットに直接接続しているVPN機器・ルーター・ファイアウォールのファームウェアを最新版に更新する
- →不要なポートの公開がないか、管理者が定期的に確認する(shodan等で自社IPが露出していないかチェック)
- →重要データのバックアップをオフライン(ネットワーク非接続)または別のクラウドストレージに取得し、定期的な復元テストを実施する
- →ランサムウェア被害発生時の対応手順(連絡先・初動手順・業務継続計画)を整備し、担当者全員に周知する
NEWS 04
CAMPFIRE株式会社 / ITmedia NEWS | 2026年4月24日〜5月11日
CAMPFIRE GitHubアカウント不正アクセスで22.5万人分の個人情報漏えい、口座情報8.2万件含む
クラウドファンディングサービスを運営するCAMPFIRE株式会社は2026年4月24日、システム管理用GitHubアカウントへの不正アクセスを起因とした個人情報漏えいを公表しました。4月2日22時50分ごろに発生した不正アクセスにより一部ソースコードが閲覧され、その後の調査でコード内に含まれていた顧客情報に不正アクセスが及んでいたことが判明しました。最終的な漏えい規模は最大22万5846人分で、このうち8万2465件は口座情報(銀行口座番号など)を含む深刻な内容です。
5月11日に公表された経緯説明では、GitHubリポジトリ内のソースコードに本来含めるべきでない顧客情報が混在していたことが根本原因として挙げられています。同様の問題はマネーフォワードでも指摘されており、開発用リポジトリへの機密情報の混入が組織横断的な課題として改めて浮き彫りになりました。専用相談窓口は2026年4月28日より開設されています。
▌中小企業への影響
社内でGitHub等のコードリポジトリを利用している場合、ソースコード内に認証情報・APIキー・顧客データが埋め込まれていないかの確認が必要です。また、クラウドサービスのGitHub連携設定から不正アクセスが拡大するケースも増えており、管理用アカウントの多要素認証(MFA)設定も見直しが求められます。
▌推奨対応
- →GitHubやGitLab等のリポジトリに認証情報・パスワード・個人情報が含まれていないか、git-secretsやtruffleHog等のツールでスキャンする
- →開発環境の機密情報は環境変数または専用のシークレット管理ツール(AWS Secrets Manager、Azure Key Vault等)で管理し、コードに直書きしない運用を徹底する
- →GitHub等の管理アカウントには多要素認証(MFA)を設定する。特に管理者権限を持つアカウントは必須とする
- →リポジトリのアクセス権限を定期的に棚卸しし、退職者・外部委託先の不要なアクセスを削除する
編集部まとめ
今週は「パッチ適用」「セキュリティ製品の管理」「境界機器の点検」「コード管理」という4つの基本的な管理作業の不備が重大被害につながった事例が集中しました。Microsoft定例パッチとトレンドマイクロの緊急パッチは今週中の適用が必要です。エネサンスHDとCAMPFIREの事例は、境界機器の管理不備とコードへの機密情報混入という、中小企業でも今日から見直せる課題を示しています。
参考情報: IPA Microsoft製品の脆弱性対策(2026年5月) / JPCERT at260014 Apex One脆弱性 / ScanNetSecurity エネサンスHD / ITmedia CAMPFIRE不正アクセス
secure