JPCERT/CC は 5 月 21 日、トレンドマイクロのエンドポイントセキュリティ製品「Apex One」シリーズに複数の脆弱性があるとして注意喚起を発表した。対象は TrendAI Apex One(オンプレミス版)、Apex One as a Service、Vision One Endpoint Security の 3 製品にわたる。深刻なのは、このうち相対パストラバーサルの脆弱性 CVE-2026-34926 を悪用した攻撃が すでに確認されている 点だ。
守る側のソフトが、最良の配布経路になる #
エンドポイントセキュリティ製品は、組織内のほぼすべての端末に高い権限でエージェントを常駐させ、管理サーバから定期的に設定や定義ファイルを受け取る。攻撃者から見れば、これほど都合のいい一斉配布チャネルはない。Apex One は国内企業での導入実績も多く、管理サーバ 1 台の侵害が組織全体の被害へ直結しかねない。
今回の攻撃連鎖はまさにそこを突く。サーバ側のパストラバーサルでファイルを改ざんし、エージェント側の「オリジン確認エラー」を組み合わせると、正規の更新を装って細工コードを全エージェントへ配布できる。さらに TOCTOU 競合状態で権限昇格にまで到達する。防御のための仕組みが、そのまま社内一斉侵害の踏み台へ変わる構図だ。
| CVE | 種類 | 影響箇所 | CVSS 3.1 |
|---|---|---|---|
CVE-2026-34926 | 相対パストラバーサル | Apex One サーバ | 6.7(悪用確認) |
CVE-2026-34927〜45207 | オリジン確認エラー | セキュリティエージェント | 7.8 |
CVE-2026-45208 | TOCTOU 競合状態 | セキュリティエージェント | 7.8 |
「スコアが低い穴」を後回しにしない #
注目すべきは、実際に悪用されている CVE-2026-34926 の CVSS が 6.7 と、エージェント側の脆弱性 7.8 よりむしろ 低い ことだ。スコアの高さと「現実に狙われるか」は一致しない。低スコアだからと後回しにした穴が、高スコアの脆弱性へ連鎖する入口になる ── これは Apex One に限らず、パッチ管理全般への教訓である。
対策は明確だ。オンプレミス版はサーバとエージェントの 両方 にパッチを適用する必要がある。クラウド版はサーバ側が修正済みのため、各端末のエージェントを最新ビルドへ更新する。パッチ適用までの間も、管理コンソールの外部公開停止や送信元 IP 制限で攻撃面を狭めておきたい。悪用が進行中である以上、対応の優先度は高い。
COMMENTS 0
No comments yet — be the first to leave one.