MENU
お問い合わせ

  1. ホーム
  2. セキュリティレポート
  3. セキュリティレポート 2026/5/20

セキュリティレポート 2026/5/20

セキュリティレポート

重要インフラ製品を狙ったゼロデイ脆弱性が複数報告されるなど、今週のセキュリティ動向は文字通り「一刻の猶予もない」緊迫した状況を迎えています。

取引先や医療機関を巻き込んだインシデントの発生に加え、「パッチ公開から数時間で攻撃が始まる」との異例の警告も飛び出すなど、各組織の管理担当者様にとっては極めて迅速な対応が求め続けられそうです。

貴社のシステムを守るために最優先で確認すべき今週の重大リスクと具体的な対策をまとめましたので、ぜひ最後まで目を通していただければ幸いです。

■ 今週のエグゼクティブサマリー

2026年5月第4週は、Microsoft Exchange ServerやCisco SD-WAN、NGINXなどの重要インフラ製品における「ゼロデイ(修正プログラム公開前の悪用)」脆弱性が複数報告されており、特に注意が必要です。

これらは、外部から認証なしでシステムの管理者権限を奪われたり、機密情報を盗み取られたりする点で非常に危険性が高いです。

また、攻撃グループShinyHuntersによる7-Elevenへのサイバー攻撃も確認され、国内では東北大学病院や東邦大学病院といった医療機関での個人情報漏洩の可能性や、はてなでの資金流出といった深刻なインシデントも多数報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今週は、特に以下の脆弱性にご注意ください。これらはCVSSスコア(脆弱性の深刻度評価)が最高値の10.0を含む極めて高いもので、既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ Cisco Catalyst SD-WAN Controller の認証バイパスの脆弱性

  • CVE番号不明 (CVSSv3.1: 10.0): 認証メカニズムの不備に起因し、外部の攻撃者が認証なしでシステムの管理者権限を取得できる恐れがあります。既に米CISAの「悪用が確認済みの脆弱性(KEV)カタログ」に追加されており、実際の攻撃が確認されています。
  • 影響: Cisco Catalyst SD-WAN Controller(旧 Viptela)
  • 対策: メーカーが提供する修正プログラムを至急適用してください。連邦政府機関には極めて短い期限での対応が求められています。

■ Microsoft Exchange Server の権限昇格の脆弱性

  • CVE-2026-42897 (CVSSスコア未確定だが極めて高い): メールの処理に関連する不備に起因し、攻撃者がメールボックスを介して不正なプログラムを実行し、システムを制御される恐れがあります。既に野外でゼロデイ攻撃としての悪用が確認されています。
  • 影響: Microsoft Exchange Server の各バージョン
  • 対策: Microsoftは現在修正パッチを準備中ですが、公開されるまでの間、公式にアナウンスされている緩和策(一時的な回避策)を直ちに実施してください。

【その他の脅威の動向】

Drupalの緊急セキュリティアップデート予告

コンテンツ管理システム(CMS)である「Drupal」において、極めて深刻な脆弱性が見つかりました。現地時間2026年5月20日に緊急パッチがリリースされる予定ですが、開発チームは「パッチ公開から数時間以内に悪用が始まる可能性がある」と異例の警告を出しています。Drupalを利用している組織の管理者は、修正プログラムが公開され次第、他の予定をキャンセルしてでも即座に更新作業を行う準備を整えてください。

国内医療機関における個人情報漏洩インシデントの続発

今週、国内の主要な医療機関でインシデントが相次いで発覚しました。東北大学では、大学病院のネットワークストレージ(NAS)が不正アクセスを受け、個人情報が漏洩した可能性があります。また、東邦大学医療センター大森病院では、業務委託先が患者データを含む診断用機器(ペースメーカープログラマ)を紛失し、第三者に情報を閲覧されるリスクが生じています。医療機関を狙った攻撃や管理ミスは、命に関わる機微情報の流出に直結するため、改めて委託先を含めた情報管理体制の点検が求められます。

NGINXおよびLinuxカーネルにおける深刻な脆弱性の悪用

世界中のウェブサイトの多くで使用されている「NGINX」において、メモリ破壊を引き起こすクリティカルな脆弱性(CVE-2026-42945)の悪用が始まりました。この脆弱性を悪用されると、サービスが停止したり、最悪の場合はサーバーが乗っ取られたりします。併せて、Linuxカーネルでも「Fragnesia」と名付けられた、通常の利用者が「管理者(root)」に権限を昇格できてしまう深刻な脆弱性が複数発見されています。AIツールを用いた脆弱性発見が加速しており、基本ソフトウェアの迅速な更新が不可欠です。

最後に

今週は特に、修正プログラムが出る前や公開直後の「ゼロデイ脆弱性」を狙ったスピード感のある攻撃が目立ちました。

特にMicrosoft Exchange ServerやCisco製品、Drupalなど、組織の根幹を支えるシステムが標的となっています。

貴社のシステムがこれらの脅威に晒されていないか、今一度ご確認いただき、パッチ適用や緩和策の実施といった適切なセキュリティ対策を最優先で講じていただくようお願いいたします。

最新記事一覧

MPSのメディア

note

弊社エンジニアの活動報告やインタビューなどを掲載しているブログです。

noteを見る

各種SNSも運用しています。以下のボタンよりご覧ください。

Facebook
Linkdin
セキュリティレポート