MENU
お問い合わせ

  1. ホーム
  2. セキュリティレポート
  3. セキュリティレポート 2026/4/22

セキュリティレポート 2026/4/22

セキュリティレポート

春の穏やかな陽気とは対照的に、今週のセキュリティ界隈はMicrosoftやAdobeからの「緊急のメンテナンス」要請が重なり、息つく暇もない状況です。

特にゼロデイ脆弱性は、システムのわずかな隙間を突く深刻なリスクであり、Cisco製品の悪用や国内の個人情報流出事案も重なって、企業としての管理責任が厳しく問われています。

事業継続を脅かすリスクを最小限に抑えるため、今すぐ確認すべき重要トピックをまとめました。

■ 今週のエグゼクティブサマリー

2026年4月第4週は、Microsoft製品の月例更新とAdobe製品の緊急パッチが重なり、非常に多くの脆弱性が修正されています。これらは既に悪用が確認されている「ゼロデイ脆弱性」を含んでおり、放置するとシステムの乗っ取りや機密情報の窃取を招く非常に危険な状態です。

また、Cisco製品(SD-WAN ManagerやISEなど)の脆弱性が相次いで悪用確認リスト(KEV)に追加されており、企業インフラを狙った攻撃が活発化しています。国内では、YCC情報システムへのランサムウェア攻撃により、複数の自治体を含む70万件超の個人情報が流出した可能性が報じられ、委託先管理の重要性が改めて浮き彫りとなりました。

【最重要】直ちに確認すべき脆弱性と対策

今週は、特に以下の脆弱性にご注意ください。これらはCVSSスコアが高く、一部は既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ Microsoft製品の月例セキュリティ更新(2026年4月)

  • CVE-複数 (CVSSv3.1: 最大9.8等多数): Windows OSやOffice製品などを含む167件の脆弱性が修正されました。この中には、修正前に攻撃が行われていたゼロデイ脆弱性が含まれており、遠隔からコンピュータを操作されたり、情報を盗まれたりする恐れがあります。既に悪用が確認されています。
  • 影響: Windows 10/11、Windows Server、Microsoft Office、Edge、Defender等、広範なMicrosoft製品。
  • 対策: Windows Update等を利用し、最新のセキュリティ更新プログラムを直ちに適用してください。

■ Cisco製品(Catalyst SD-WAN / ISE)の深刻な脆弱性

  • CVE-番号 (CVSSv3.1: 高スコア): ネットワーク管理製品である「Catalyst SD-WAN Manager」や、認証管理を行う「Identity Services Engine (ISE)」において、認証を回避されるなどの深刻な脆弱性が報告されました。悪用されると、ネットワーク全体の制御権を奪われる危険性があります。米当局(CISA)により、既に野外で悪用されていることが確認されています。
  • 影響: Cisco Catalyst SD-WAN Manager、Cisco ISE の特定バージョン。
  • 対策: Ciscoが提供する修正済みソフトウェアへのアップグレードを強く推奨します。一部製品はパッチを準備中のため、公式のアドバイザリを確認し回避策を講じてください。

【その他の脅威の動向】

国内IT企業「YCC情報システム」へのランサムウェア攻撃による大規模情報漏洩

山形県にある情報システム会社がランサムウェア被害を受け、受託していた山形市や埼玉県幸手市などの自治体関連データを含む70万件超の個人情報が流出した恐れがあります。攻撃者はグループ会社の通信機器を経由して侵入したとみられており、外部公開されているIT資産やVPN装置などの脆弱性対策、および委託先のセキュリティ状況を再点検することの重要性が示されました。

人気JavaScriptライブラリ「Axios」を狙ったサプライチェーン攻撃

ダウンロード数が週に数千万回を超える非常にポピュラーなライブラリ「Axios」に、悪意のある「バックドア」が仕込まれたバージョンが公開されました。アカウントが乗っ取られたことが原因とされており、開発者が意図せずマルウェアを配布してしまう「サプライチェーン攻撃」の脅威が現実となっています。開発現場では、利用している外部ライブラリのバージョン固定や、異常な更新の監視が求められます。

AIツールを起点としたVercelの侵害インシデント

クラウドプラットフォーム「Vercel」において、従業員が利用していサードパーティ製AIエージェントツール(Context.ai)が侵害され、そこから顧客の認証情報(OAuthトークン)が盗み出される事案が発生しました。AIエージェントが持つ強力な権限が悪用されると、従来の境界防御をすり抜けて一気に被害が拡大する恐れがあります。利便性の高いAIツールの導入には、適切なガバナンスと権限管理が不可欠です。

最後に

今週は特に、OSやネットワーク基盤製品の既知の脆弱性を突いた攻撃と、委託先や開発ライブラリを起点としたサプライチェーンの連鎖的な被害が目立ちました。

貴社のシステムがこれらの脆弱な設定や古いバージョンのまま放置されていないか、今一度ご確認いただき、適切なセキュリティ対策(パッチ適用や多要素認証の徹底など)を講じていただくようお願いいたします。

最新記事一覧

MPSのメディア

note

弊社エンジニアの活動報告やインタビューなどを掲載しているブログです。

noteを見る

各種SNSも運用しています。以下のボタンよりご覧ください。

Facebook
Linkdin
セキュリティレポート