今号は3本のニュースを取り上げます。最も緊急度が高いのは、トレンドマイクロのエンドポイントセキュリティ製品「Apex One」のゼロデイ脆弱性(CVE-2026-34926)で、すでに実際の攻撃への悪用が確認されています。加えて、Microsoftの5月月例パッチ(138件・緊急30件)と、Palo Alto PAN-OSの認証バイパス脆弱性も公開されました。Apex Oneを導入している組織は今すぐパッチ適用を確認してください。
NEWS 01
JPCERT/CC at260014 / CISA KEV | 2026年5月21日
トレンドマイクロ Apex One のゼロデイ脆弱性 CVE-2026-34926、実攻撃への悪用を確認・CISAがKEV登録
JPCERT/CCは2026年5月21日、TrendAI Apex One(オンプレミス版)、Trend Micro Apex One as a Service、TrendAI Vision One Endpoint Security(Standard Endpoint Protection)に複数の脆弱性が存在するとして注意喚起(at260014)を公表しました。
このうち相対パストラバーサルの脆弱性(CVE-2026-34926、CVSS v3.1スコア:6.7)については、トレンドマイクロが実際の攻撃に悪用されていることを確認しています。米国CISA(サイバーセキュリティ・インフラセキュリティ庁)も同日この脆弱性をKEV(Known Exploited Vulnerabilities:既知の悪用脆弱性)カタログに追加し、連邦機関に対して2026年6月4日までの修正を義務付けました。
悪用には攻撃者がApex OneサーバーのOSの管理者権限をあらかじめ取得している必要があります。ただし、これは「ハードルが高い」ことを意味するのではなく、他の脆弱性やフィッシング攻撃と組み合わせることで権限昇格→本脆弱性の悪用という二段階攻撃として実行されるリスクがあります。実際に野外での悪用が確認されている以上、速やかな対応が必要です。
▌中小企業への影響
Apex Oneのオンプレミス版を社内サーバーで運用している組織が対象です。クラウド版(Apex One as a Service)も影響範囲に含まれます。エンドポイントセキュリティ製品自体に脆弱性があるという逆説的な状況で、放置すれば攻撃者に踏み台として利用されるリスクがあります。
▌推奨対応(今すぐ確認)
- →Apex One(オンプレミス版)を運用している場合は、管理コンソールでバージョンを確認し、トレンドマイクロが提供する最新のパッチ・ホットフィックスを適用する
- →Apex One as a Service(クラウド版)は、自動更新が有効になっていることを確認する
- →Apex One サーバーへのアクセスを、管理用端末のみに制限する(不要なアクセスポートを閉じる)
- →パッチ適用が完了するまでの間、Apex Oneサーバーへのネットワークアクセスログを監視し、不審なアクセスがないか確認する
- →パッチ適用の詳細はトレンドマイクロのサポートサイト(success.trendmicro.com)またはJPCERT/CC at260014を参照する
NEWS 02
IPA / JPCERT/CC at260012 | 2026年5月13日
Microsoft 2026年5月の月例パッチ公開、138件対応・CVSS9.8以上の緊急4件を含む
Microsoftは現在時間2026年5月12日(日本時間5月13日)、月例セキュリティ更新プログラムを公開しました。今月は計138件の脆弱性に対応しており、そのうち最大深刻度が「緊急(Critical)」のものが30件含まれています。IPAおよびJPCERT/CC(at260012)も国内ユーザーに向けて速やかな適用を呼びかけています。
特に深刻なのはCVSSスコア9.8以上の4件で、認証不要でリモートからコードが実行できる脆弱性です。以下の製品・コンポーネントが対象になっています。
| CVE番号 |
対象コンポーネント |
CVSSスコア |
種別 |
| CVE-2026-42898 |
Microsoft Dynamics 365(オンプレミス) |
9.9 |
リモートコード実行 |
| CVE-2026-41089 |
Windows Netlogon |
9.8 |
リモートコード実行 |
| CVE-2026-41096 |
Windows DNSクライアント |
9.8 |
リモートコード実行 |
| CVE-2026-42823 |
Azure Logic Apps |
9.9 |
特権昇格 |
138件の脆弱性の内訳は、権限昇格が57件、リモートコード実行が29件、情報漏いが9件、サービス拒否が8件などとなっており、今月は特にWindowsのコアコンポーネントに影響するものが多い点が特徴です。
▌中小企業への影響
Windows PCを使用しているすべての組織が対象です。特に社内ネットワークにパッチ未適用の端末が1台でもあると、その端末を踏み台にした横展開攻撃の起点になるリスクがあります。Netlogonの脆弱性はActive DirectoryやWindowsドメイン環境で特に影響が大きいため、ファイルサーバーやドメインコントローラーを持つ環境では優先度を上げて対応してください。
▌推奨対応(今週中に実施)
- →全社のWindows端末で「Windows Update」を実行し、2026年5月13日付けのパッチが適用済みであることを確認する(設定→更新とセキュリティ→Windows Update)
- →ドメインコントローラーなラファイルサーバー等の社内サーバーも同様にパッチ適用状況を確認する
- →Dynamics 365(オンプレミス版)を運用している場合は優先的に更新する
- →更新後の動作確認のため、重要業務の直前ではなく週末明けなど業務への影響が出にくいタイミングで適用するのが現実的
- →WSUSなどで集中管理している場合は配布スケジュールを確認し、遅延なく展開されるよう設定する
NEWS 03
Palo Alto Networks / JPCERT/CC | 2026年5月13〜22日
Palo Alto PAN-OS に認証バイパスの脆弱性 CVE-2026-0265、クラウド認証サービス利用時に影響
Palo Alto Networksは2026年5月13日、ファイアウォール製品 PAN-OSにおける認証バイパスの脆弱性(CVE-2026-0265、CVSSスコア:7.2 / High)を公開しました。JPCERT/CCも5月22日に対象組織への注意喚起を実施しています。
この脆弱性は、PAN-OSでクラウド認証サービス(Cloud Authentication Service:CAS)が有効になっている場合に、ネットワーク上の認証されていない攻撃者が認証制御をバイパスできるものです。対象製品はPA-Series・VM-SeriesのファイアウォールおよびPanorama(仮想版・M-Seriesアプライアンス)です。クラウドNGFW(Cloud NGFW)およびPrisma Accessは影響を受けません。
発見者はベンダーが公表したCVSSスコア(7.2)を「実際の深刻度を過小評価している」と指摘しており、特にCASをManagementインターフェースで有効にしている環境ではリスクが高まります。2026年5月13日および5月28日にかけてパッチが順次提供されています。
▌中小企業への影響
Palo AltoのPA-Seriesファイアウォールを導入している組織が対象です。ファイアウォール自体の認証が突破されると、社内ネットワーク全体への侵入を許す可能性があります。CAS(クラウド認証サービス)を使用しているかどうかを確認し、該当する場合は速やかに対応してください。
▌推奨対応
- →Palo Alto製ファイアウォールの管理画面でPAN-OSのバージョンを確認し、ベンダーが提供するアップデートを適用する
- →CAS(Cloud Authentication Service)が有効になっているかを確認する。有効な場合はパッチ適用を最優先とする
- →Management インターフェースへのアクセスを信頼できるIPアドレスのみに制限する
- →Palo Alto Networks Security Advisories(security.paloaltonetworks.com)で対象バージョンと修正バージョンを照合する
- →機器の管理をベンダーや保守業者に委託している場合は、パッチ適用の実施を依頼・確認する
編集部まとめ
今号で最も緊急対応が必要なのはApex Oneのゼロデイ(CVE-2026-34926)です。実際の攻撃が確認されており、CISAが「2週間以内に修正」を連邦機関に義務付けた水準の深刻度です。Apex Oneを運用している組織は他の作業より優先してパッチ適用を確認してください。
Microsoft月例パッチは毎月の定例作業として、今月も全端末への適用を週内に完了させることが基本です。CVSS9.8以上の緊急脆弱性が4件ある月は対応を後回しにしないでください。Palo Alto PAN-OSについては、CASを使用していない環境では喫緊の危険は低いものの、バージョン確認と計画的なアップデートを進めてください。
参考情報
secure