2026年5月21日、JPCERT/CC が「トレンドマイクロ製 Apex One における複数の脆弱性に関する注意喚起」(at260014)を公開しました。対象は Apex One(オンプレ)、Apex One as a Service、Vision One Endpoint Security – Standard Endpoint Protection の3製品で計8件の CVE が同時公表され、JPCERT は CVE-2026-34926(相対パストラバーサル)について「攻撃を確認している」と明記。即応対象です。
セキュリティ製品の管理サーバが侵害されると、エンドポイント群へ細工したコードを「正規の配信」として押し込まれる構造的リスクが生まれます。Apex One クラスの管理基盤は防御の最後尾でなく「真っ先に守るべき内側の城」と考え直す必要があります。本記事は、攻撃者目線で「どの CVE がどう悪用されると最悪か」を整理し、優先パッチ判断・ビルド番号照合・検知運用までを実務目線でまとめます。情報は JPCERT/CC 注意喚起と JVN VU#90583059 を基にしています。
JPCERT注意喚起 at260014 の全体像
今回の注意喚起は、トレンドマイクロが2026年5月21日に公開した公式アドバイザリ KA-0022974 と JVN VU#90583059 を受けたものです。Apex One(オンプレ)は自社運用責任のエディションで、サーバ・エージェント双方のパッチ適用も自社責任。Apex One as a Service と Vision One Endpoint Security のサーバ側はトレンドマイクロが2026年4月メンテナンスで修正済ですが、エージェント側のビルドはユーザー側更新が必要なため、SaaS版だからといって「対応ゼロ」ではありません。
JPCERT は影響として「細工したコードがセキュリティエージェントに配布される」「権限昇格される」可能性を挙げています。EDR/EPP プラットフォームが「踏み台」化される、つまり防御製品そのものが配信経路として利用されるシナリオです。
公開された CVE は計8件で、種類別の内訳は以下のとおりです。
・相対パストラバーサル: 1件(CVE-2026-34926、攻撃確認済)
・オリジン確認エラー: 6件(CVE-2026-34927/34928/34929/34930/45206/45207)
・TOCTOU 競合状態: 1件(CVE-2026-45208)
CVSS は CVE-2026-34926 のみ v4.0 で 4.9(v3.1 で 6.7)、残り7件は v4.0 で 8.5(v3.1 で 7.8)。「攻撃観測がある低 CVSS」と「攻撃観測のない高 CVSS」が同居しており、CVSS だけで優先度を決めると判断を誤ります。
CVE別の悪用シナリオを攻撃者目線で読み解く
CVE 番号と CVSS だけでは現場の優先度は決まりません。攻撃者が「どこから入って、何を成立させたいか」で並べ直すと判断が早くなります。
CVE-2026-34926(相対パストラバーサル)は、すでに攻撃が観測されている1件です。相対パストラバーサルは「想定外のディレクトリへファイル読み書きを波及させる」クラスの不具合で、管理サーバの想定外の場所に細工したファイルを配置できれば、その後のエージェント配信や設定読み込みに干渉する余地が生まれます。JPCERT の「細工したコードがエージェントに配布される」シナリオの起点として理解できます。CVSS 6.7(v3.1)は中程度ですが、実害観測がある以上、机上の数値より一段重く扱うのが妥当です。
オリジン確認エラー(CVE-2026-34927 ほか6件)は、Web/HTTP 系コンポーネントが「リクエスト元の正当性チェック」を十分に行わないクラスです。管理コンソール周辺で悪用されると、本来許可されないオリジンから管理操作の発火を許す恐れがあります。CVSS 7.8~8.5 と高めで、将来攻撃される確率も高く見積もるべきグループです。CVE が複数同時公開されている事実は、攻撃者にとって「研究対象として太い」シグナルになります。
CVE-2026-45208(TOCTOU 競合状態)は、チェックの瞬間と利用の瞬間の間に状態を入れ替えることで権限ガードを迂回するクラスです。条件成立の難度は環境依存ですが、エンドポイント保護製品の文脈では「権限昇格」「自己保護機構の迂回」につながりやすく、踏み台化の最後のピースになりうる種類です。
攻撃者目線の優先順位は「① 実害観測のあるパストラバーサル ② オリジン確認エラー6件(管理面の脆弱化) ③ 競合状態1件(権限・自己保護)」となります。CVSS の高低ではなく、攻撃ストーリーの起点か終点かで読むと判断がぶれません。
パッチ適用優先度を比較表で組み立てる
JVN VU#90583059 に記載された対策バージョンを、運用視点で読み替えた比較表です。SaaS 版もエージェント更新は自社責任で必要なため、製品名だけで判断せず「サーバ/エージェント」両軸で確認してください。
| 製品 / コンポーネント | 影響を受けるバージョン | 対策バージョン | 適用主体 | 優先度 |
|---|---|---|---|---|
| Apex One(オンプレ)サーバ | Build 17079 より前 | Service Pack 1 Critical Patch B18012 | ユーザー | 最優先 |
| Apex One(オンプレ)セキュリティエージェント | Build 14.0.17079 より前 | Build 14.0.18012 | ユーザー | 最優先 |
| Apex One as a Service サーバ | 2026年4月メンテナンス前 | 2026年4月メンテナンスで修正済 | トレンドマイクロ | 確認のみ |
| Apex One as a Service エージェント | Build 14.0.20731 より前 | Build 14.0.20731 | ユーザー | 高 |
| Vision One Endpoint Security サーバ | 2026年4月メンテナンス前 | 2026年4月メンテナンスで修正済 | トレンドマイクロ | 確認のみ |
| Vision One Endpoint Security エージェント | Build 14.0.20731 より前 | Build 14.0.20731 | ユーザー | 高 |
最優先は Apex One(オンプレ)のサーバとエージェントです。サーバ側に CVE-2026-34926(攻撃確認済)の修正が含まれるため、サーバ → エージェントの順で B18012 / 14.0.18012 まで上げます。SaaS 版(Apex One as a Service、Vision One Endpoint Security)はサーバ側修正完了の確認とエージェント Build 14.0.20731 への更新です。
実務的には、台帳側の「導入バージョン」を信用しすぎないことが重要です。自動更新ポリシーがオフ/部分適用の拠点や長期不在端末のキャッシュずれは、過去のインシデント対応でも繰り返し躓かれてきたポイントです。
PR
情報セキュリティ白書2025(独立行政法人情報処理推進機構)
IPA が毎年発行する国内セキュリティ動向の定点観測。ベンダー脆弱性の傾向、観測されたインシデント、政策動向まで網羅されており、本記事のような CVE 速報を「単発」ではなく自社の脅威マップ上で位置づけたい担当者の常備本としておすすめです。
自社の現状把握と検知運用:ビルド照合・棚卸し・踏み台化対策
「うちは大丈夫か?」を即答できる体制になっているかを、棚卸しと検知運用の両軸で組み立てます。EDR の管理サーバは社内の中心動脈なので、調査と運用変更は慎重に進めてください。
Apex One(オンプレ)の場合、管理コンソールにログインしてサーバ自身のビルド番号と「セキュリティエージェント」一覧の現行ビルドを確認し、Apex One Service Pack 1 Critical Patch B18012/エージェント Build 14.0.18012 と JVN・KA-0022974 の数字を目視で突合します。Apex One as a Service と Vision One Endpoint Security については、サーバ側は2026年4月メンテナンスで修正済なので、(1)4月メンテナンス完了通知をテナント管理コンソールで再確認、(2)エージェントが Build 14.0.20731 に揃っているかを台帳と現物で突合、の2点を行ってください。SaaS 版でも「エージェントは自社運用」が境界線です。
次に、台帳に載っていない「野良端末」を洗い出します。長期休職者の PC、退職者の引き継ぎ漏れ、テスト用 VM、社外拠点の業務用 PC など、月次の更新サイクルから外れがちな端末は今回のような場面で穴になります。EDR の管理コンソール側で「最終チェックイン日時」「現行エージェントビルド」を CSV エクスポートし、人事系の在籍データと突き合わせて「説明のつかない端末」を可視化するのが手早い棚卸しです。
パッチ適用と並行して、踏み台化された場合の検知も運用に組み込みます。EDR/EPP の管理基盤は攻撃者にとって最高の踏み台なので、踏まれた瞬間に違和感が出る箇所を4つ押さえます。
第一に、管理サーバから配下エージェントへの「異常な配信」。計画的なポリシー配信や定期更新と切り離して「臨時の追加配信」「特定端末群だけへの個別配信」を SIEM 側で追えるようにします。第二に、管理コンソールへの「想定外オリジンからのアクセス」。Reverse Proxy/WAF でログ化し、(1)想定オフィス IP 帯以外、(2)VPN 経由以外、(3)夜間帯、の3軸で異常を洗います。第三に、エージェント自己保護機構の状態を SIEM に流す運用。CVE-2026-45208 のような競合状態は「自己保護の一瞬の隙」を突く方向で悪用されうるため、サービス停止/再起動/設定変更を即時アラート化します。第四に、IoC 公表の継続チェック。執筆時点で一次情報に具体的なハッシュ値や C2 ドメインの記載はないため、JPCERT/CC・トレンドマイクロ公式ブログ・JVN を定期ローテに入れ、管理サーバのログ・配信履歴・サービス起動ログを最低90日保管しておくと後追い調査の初動が早くなります。
初動チェックリスト:48時間で踏むべき手順
注意喚起公開(5月21日)から48時間以内に踏むべき手順を現場運用の順序で整理します。
・0~6時間: 自社利用製品の切り分け、管理コンソールでサーバとエージェントの現行ビルド取得、JVN VU#90583059/KA-0022974 と突合
・6~24時間: オンプレ Apex One は B18012 を検証環境で適用試験+ロールバック手順を文書化。SaaS 利用なら4月メンテナンス完了通知を再確認
・24~36時間: 本番サーバへ適用、エージェント配信・ポリシー反映・検知機能の動作確認
・36~48時間: エージェントのビルド更新を計画展開、長期不在・野良端末の個別対応
・並行作業: CVE-2026-34926 悪用兆候の遡及確認(過去90日分のログレビュー)、JPCERT/CC・トレンドマイクロ公式ブログ・JVN を1日2回チェックし IoC 公表に備える
検証環境が無い小規模組織では、業務影響が出にくい時間帯に本番直適用するか、トレンドマイクロのサポート契約で適用手順を事前相談するのが現実解です。
PR
今からはじめるインシデントレスポンス(杉浦芳樹ほか、技術評論社)
CSIRT の組織化からインシデント対応の実務までを事例ベースで解説した一冊。EDR 製品の脆弱性のように「自社の防御製品が経路化する」事故にも応用できる初動設計が学べます。本記事の48時間チェックリストを「型」にしたい担当者におすすめです。
FAQ:現場で出やすい疑問
- Q. CVSS が低い CVE-2026-34926 を最優先にする根拠は何ですか?
- A. JPCERT/CC が注意喚起本文で「攻撃を確認している」と明記しているためです。CVSS は理論値、攻撃観測は実測値で、優先度は実測値を上に取るのが鉄則です。CVSS 7.8~8.5 のオリジン確認エラー6件はパッチで同時に修正されるため、結果として両方が同時に塞がります。
- Q. Apex One as a Service を使っています。サーバ側は何もしなくていいですか?
- A. サーバ側はトレンドマイクロが2026年4月メンテナンスで修正済です。利用者側の対応は、(1)テナント管理コンソールやリリースノートで4月メンテナンス完了を確認する、(2)エージェント側を Build 14.0.20731 に揃える、の2点です。エージェントは自社責任で更新が必要です。
- Q. パッチ適用までの間、何か応急策はありますか?
- A. 一次情報には具体的な暫定回避策は記載されていません。一般論として、管理コンソールへのアクセス元 IP を業務 IP 帯に限定する、管理コンソールへのアクセスログを通常より高頻度で監視する、エージェントのサービス停止イベントを即時アラート化する、といった既存の運用強化で時間を稼ぐ形になります。根本対策はパッチ適用です。
- Q. 過去に悪用された痕跡を確認するには何を見ればいいですか?
- A. 管理サーバのアクセスログ、エージェント配信履歴、管理操作ログを過去90日分(できれば180日)洗い出してください。具体的な IoC が公表されていない現時点では、「想定外のオリジンからの管理操作」「臨時の追加配信」「自己保護機構の停止」など、振る舞いベースで違和感を探すアプローチが現実的です。
まとめ:踏まれてから動くか、踏まれる前に動くか
JPCERT/CC at260014 は、トレンドマイクロ Apex One/Apex One as a Service/Vision One Endpoint Security の3製品で計8件の脆弱性をまとめて告知するものです。CVE-2026-34926 は CVSS こそ中程度ですが、すでに攻撃が観測されており即応対象。オリジン確認エラー6件と TOCTOU 競合1件は、攻撃ストーリーの「中継点」「終点」になりうる構成で、放置すれば踏み台化のピースが揃ってしまいます。
優先順位は「① オンプレ Apex One のサーバ・エージェントを B18012/14.0.18012 へ ② SaaS 版利用者はサーバ修正の確認とエージェント 14.0.20731 への更新 ③ 棚卸しで野良端末を炙り出し ④ 検知運用に踏み台化シナリオを織り込む」の順。CVE と CVSS の羅列を眺めるのではなく、攻撃ストーリーで読み替えることで、本当に塞ぐべき順番が見えてきます。
セキュリティマスターズ.TOKYO では、こうした CVE 速報を「攻撃者目線で防御の優先度を組み立てる」視点で配信しています。最新の注意喚起や IoC 情報、検知ルールの組み立て方を、現場の言葉でまとめたメルマガをお届けしています。
CVE速報を「自社の優先順位」に翻訳できていますか?
JPCERT注意喚起や CVE 速報を、攻撃者目線で読み替えて自社の防御優先度に落とし込む実務ノウハウを、メルマガで毎週お届けしています。
正しいセキュリティ知識を体系的に身につけたい方へ、現場で使える対策情報を無料で配信中です。
【一次情報】
JPCERT/CC「トレンドマイクロ製 Apex One における複数の脆弱性に関する注意喚起」at260014(2026年5月21日)/JVN VU#90583059/Trend Micro Success KA-0022974
