ゴールデンウィーク明けの今週は、Webサイト経由の情報漏えい事案、Webサーバ製品の脆弱性、ネットワーク機器のサポート終了という3本を取り上げます。いずれも中小企業が運営する自社サイト・自社サーバ・テレワーク環境のいずれかに関わる内容です。「自社のサイトは大丈夫か」「Webサーバのバージョンを把握しているか」「VPN機器はいつまで安全に使えるのか」を週明けにそれぞれ確認してください。
NEWS 01
ScanNetSecurity | 2026年5月8日
インテグラル社のWebサイト不正アクセス、最大5,441件の個人情報流出のおそれ
医療機器の輸入販売を手がける株式会社インテグラルは、自社が運営する一部のWebサイトが第三者による不正アクセスを受け、最大5,441件の個人情報が流出した可能性があると公表しました。サーバに不正なファイルが設置され、訪問者を不適切なサイトへリダイレクトする状態が一定期間続いていたことが調査で判明しています。
事象を最初に確認したのは2026年1月23日で、同社が運営する3サイトの「お問い合わせフォーム」を通じて取得した情報が対象となりました。漏えい対象には氏名・所属施設名・部署・職種・住所・電話番号・メールアドレスが含まれます。同社は2026年1月26日に個人情報保護委員会へ報告し、対象顧客への個別連絡を進めています。
同社の発表によれば、2026年1月中旬以前から不正なプログラムが設置され、外部から長期にわたり操作されていたことが判明しました。情報漏えいが成功した記録は確認されていないものの、不正プログラムの実行記録が残っていたため、漏えいの可能性は完全には否定できないとしています。
▌中小企業への影響
WordPress・自社CMSなどでコーポレートサイトを運用している中小企業はすべて当事者になり得ます。問い合わせフォームから取得した名簿は社内DBに残ったまま忘れられがちで、サーバ侵入時に「気づかれずに長期間吸い上げられる」典型パターンです。Webサイト管理を制作会社に丸投げしている場合は、特に状況把握が遅れます。
▌推奨対応(今週中に確認)
- 自社サイトのCMS(WordPress等)・プラグイン・テーマが最新版か制作会社に確認する
- 問い合わせフォームから取得した個人情報の保管場所・保管期間・アクセス権を棚卸しする
- サーバの管理画面(管理者ログイン)にIP制限または多要素認証を設定する
- サイトに身に覚えのないリダイレクト・改ざん表示がないか目視確認する(私用端末・社外ネットからもチェック)
NEWS 02
JVN/JPCERT | 2026年5月8日
Apache HTTP Server 2.4に複数の脆弱性、最新版2.4.67への更新を呼びかけ
JVN(Japan Vulnerability Notes)は2026年5月8日、Apache HTTP Server 2.4系における複数の脆弱性に対するアップデート情報(JVNVU#99705957)を公表しました。Apache Software Foundationから修正版となる2.4.67が同日公開されています。
主な脆弱性は、HTTP/2処理時の二重解放(CVE-2026-23918)、mod_rewriteにおける権限昇格(CVE-2026-24072)、mod_proxy_ajpにおけるバッファオーバーフロー(CVE-2026-28780)、mod_mdにおけるOCSP応答処理の不備(CVE-2026-29168)、mod_dav_lockのNULLポインタ参照(CVE-2026-29169)、mod_auth_digestのタイミング攻撃(CVE-2026-33006)、mod_authn_socacheのNULLポインタ参照(CVE-2026-33007)です。
影響は脆弱性ごとに異なりますが、サービス運用妨害(DoS)、任意のコード実行、ローカル.htaccess作成権限を持つ攻撃者によるファイル読み取り、Digest認証回避などが想定されており、Webサーバとしての可用性・機密性の双方に影響が及び得ます。
主な脆弱性一覧
| CVE番号 |
該当モジュール |
想定される影響 |
| CVE-2026-23918 |
HTTP/2 |
二重解放(DoS等) |
| CVE-2026-24072 |
mod_rewrite |
権限昇格 |
| CVE-2026-28780 |
mod_proxy_ajp |
バッファオーバーフロー |
| CVE-2026-29168 |
mod_md |
OCSP応答処理の不備 |
| CVE-2026-29169 |
mod_dav_lock |
NULLポインタ参照 |
| CVE-2026-33006 |
mod_auth_digest |
タイミング攻撃によるDigest認証回避 |
| CVE-2026-33007 |
mod_authn_socache |
NULLポインタ参照 |
▌中小企業への影響
自社でWebサーバ(VPS・専用サーバ・社内サーバ)を運用している中小企業は対象となり得ます。レンタルサーバ・共用ホスティングを利用している場合は事業者側で対応されますが、自前でEC2やさくらVPSなどにApacheを構築している場合は自社対応が必須です。社内のグループウェア・社内ポータルにApacheを使っているケースも見落としがちです。
▌推奨対応
- サーバにSSH接続し
httpd -v もしくは apache2 -v でバージョンを確認する
- 2.4.66以前を利用している場合は、テスト環境で2.4.67へのアップデートを検証してから本番反映する
- 共用ホスティング・レンタルサーバ利用の場合は事業者の対応状況をサポートに確認する
- mod_rewrite・mod_proxy_ajpなど、利用していないモジュールが有効化されていないか設定を見直す
NEWS 03
日経xTECH/Fortinet | 2025年10月発表
Fortinet SSL-VPNがサポート終了へ、テレワーク環境はIPsecへの移行検討を
米Fortinet社は、同社製VPN装置「FortiGate」で長く提供されてきたSSL-VPN機能の技術サポート(EoES:End of Engineering Support)を終了する方針を打ち出しています。当初の終了目安として2026年5月上旬が示されていましたが、その後Fortinetは一部バージョン(FortiOS 7.4)について期限を1年延長し、2027年5月11日までサポート対象とすることを公表しました。
FortiOS 7.6.3(2025年4月リリース)では、すでに全FortiGateモデルでSSL-VPNトンネルモードが完全廃止されています。サポートが終了するとFortinetが重大と判断したケースを除き、不具合や脆弱性が見つかってもパッチが提供されなくなるため、SSL-VPNを使い続ける限り脆弱性放置のリスクが恒常化します。
背景として、米国のNSA・CISAが「可能な限りVPNはIKE/IPsec方式に設定し、SSL/TLS-VPNやフォールバック機能を無効化すること」を推奨していること、2024~2025年の間にFortinetが公表したSSL-VPN関連の重要・緊急脆弱性が複数件あったこと(IPsec方式は同時期で1件のみ)が挙げられます。
移行先の主な選択肢
| 選択肢 |
概要 |
留意点 |
| IPsec VPNへの切り替え |
同じFortiGate機器でIPsec方式に再設定 |
クライアント側設定変更が必要。固定IP環境に適する |
| ZTNA/ゼロトラスト型 |
FortiClient ZTNA等のリモートアクセスサービスへ移行 |
ライセンス追加が必要。最小権限制御が可能 |
| 他社製品への乗り換え |
Cloudflare・Cisco等のリモートアクセス製品 |
機器入れ替え・運用学習コストが発生 |
▌中小企業への影響
テレワーク用にFortiGateのSSL-VPNを使っている中小企業は、移行計画を今から立てる必要があります。SSL-VPNはクライアント設定が容易だったため広く普及しましたが、その分今後の脆弱性放置リスクは中小企業ほど深刻になります(情シス専任不在・パッチ運用が遅れがちな環境で被害が大きくなりやすい)。
▌推奨対応
- FortiGateを利用している場合、機種・FortiOSバージョン・SSL-VPN利用有無を棚卸しする
- 販売代理店・運用事業者に「自社のEoES予定日」と「IPsec/ZTNA移行プラン」を見積依頼する
- 移行に伴うクライアント側の再設定(社員PC全台)の作業時間を見込んでスケジュール化する
- 当面SSL-VPNを継続する場合も、FortiOSの最新パッチ適用とMFA有効化を必須化する
編集部まとめ
今週の3本は「Webサイト・Webサーバ・VPN」というインターネット接続点に関するニュースが揃いました。インテグラル社の事案は、お問い合わせフォームから取得した個人情報が攻撃者に長期間取られていた可能性を示しており、自社サイトの管理状況を月次で確認することの重要性が改めて浮き彫りになっています。
Apacheの脆弱性は自社サーバ運用組織にとって即時対応案件、Fortinet SSL-VPNの件は1年単位の中期プロジェクト案件です。短期パッチ運用と中期インフラ更新の両軸を、今週の段取りに落とし込んでください。
参考情報
- ScanNetSecurity「インテグラルのウェブサイトに不正アクセス、一定期間にわたり外部から操作されていたことが判明」(2026年5月8日)
- 株式会社インテグラル「当社ウェブサイトへの不正アクセスに関するお詫びとご報告(最終報告)」(2026年4月17日)
- JVN「JVNVU#99705957: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート(2026年5月)」
- JPCERT/CC 注意喚起「Apache HTTP Server 2.4の脆弱性に関する注意喚起」
- 日経xTECH「フォーティネットがSSL-VPNを2026年5月に廃止、テレワーク環境の見直し急務」
- 日経xTECH「フォーティネットがSSL-VPNの『廃止』期限を1年延長、5月の終了目前に」