2026年5月、トレンドマイクロ製の企業向けエンドポイントセキュリティ製品である TrendAI Apex One などに、複数の脆弱性が確認されました。
今回の問題で特に注意したいのは、単に「脆弱性が見つかった」というだけではなく、一部の脆弱性について実際の攻撃への悪用が確認されている点です。
JPCERT/CCも注意喚起を公開しており、対象製品を利用している企業に対して、早期のパッチ適用などの対応を推奨しています。今回のRSS取得結果でも、JPCERT/CCとJVNの両方から該当情報が取得されています。
この記事では、TrendAI Apex Oneの脆弱性について、企業の情報システム担当者やセキュリティ担当者が確認すべきポイントを整理します。
今回公表されたTrendAI Apex Oneの脆弱性とは
今回の脆弱性は、トレンドマイクロの以下の製品に関係するものです。
| 対象製品 | 主な影響 |
|---|---|
| TrendAI Apex One オンプレミス版 | サーバおよびセキュリティエージェントが影響 |
| Trend Micro Apex One as a Service | セキュリティエージェントが影響 |
| TrendAI Vision One Endpoint Security – Standard Endpoint Protection | セキュリティエージェントが影響 |
JPCERT/CCによると、今回の脆弱性を悪用された場合、細工したコードをセキュリティエージェントに配布されたり、権限昇格されたりする可能性があります。特に、CVE-2026-34926については、TrendAI Apex Oneのオンプレミス版でのみ悪用可能とされています。
セキュリティ製品は、企業内の多数の端末にエージェントを展開していることが多いため、管理サーバやエージェント側の脆弱性は、通常の業務アプリ以上に慎重な対応が必要です。
特に注意すべきはCVE-2026-34926
今回もっとも注意すべきなのは、CVE-2026-34926 です。
これは、Apex Oneサーバにおけるディレクトリトラバーサルの脆弱性です。トレンドマイクロの情報では、この脆弱性を悪用することで、ローカルの攻撃者がサーバ上の重要なテーブルを変更し、悪意のあるコードをエージェントに配布できる可能性があるとされています。
ただし、この脆弱性はインターネットから誰でも簡単に悪用できるタイプではありません。トレンドマイクロおよびNVDの説明では、攻撃者が悪用するには、Apex Oneサーバにアクセスでき、さらに別の方法でサーバの管理者資格情報を取得している必要があるとされています。
一見すると条件が厳しく見えますが、ここで油断してはいけません。
なぜなら、攻撃者がすでに社内ネットワークへ侵入している場合、Apex Oneのようなセキュリティ管理サーバは、横展開や権限拡大のための重要な標的になり得るからです。
「CVSS中」でも軽視できない理由
CVE-2026-34926のCVSS v3.1スコアは 6.7 で、深刻度としては「中」とされています。一方で、今回の問題はスコアだけで判断すべきではありません。
理由は3つあります。
1つ目は、実際の攻撃に悪用されたことが確認されている点です。
トレンドマイクロは、CVE-2026-34926が実際の攻撃に利用されたことを確認していると公表しています。
2つ目は、対象がセキュリティ管理製品である点です。
Apex Oneは企業内の端末を保護・管理するための製品です。そのため、攻撃者に悪用された場合、守る側の仕組みが逆に攻撃の足場になるおそれがあります。
3つ目は、エージェント配布の仕組みに関係する点です。
JVNは、CVE-2026-34926を悪用された場合、Apex Oneサーバに管理者権限でアクセス可能な攻撃者によってサーバ上のファイルを改ざんされ、結果として細工したコードをセキュリティエージェントに配布される可能性があると説明しています。
つまり、CVSSスコアだけを見ると「中」でも、運用環境によっては非常に重大なインシデントにつながる可能性があるということです。
セキュリティエージェント側の権限昇格にも注意
今回の脆弱性は、CVE-2026-34926だけではありません。
JVNによると、セキュリティエージェントにおけるオリジン確認エラーやTOCTOU競合状態により、権限昇格につながる複数の脆弱性も確認されています。対象となるCVEには、CVE-2026-34927、CVE-2026-34928、CVE-2026-34929、CVE-2026-34930、CVE-2026-45206、CVE-2026-45207、CVE-2026-45208が含まれます。
これらは、攻撃者が対象端末上で低い権限のコードを実行できる場合に、より高い権限へ昇格できる可能性があるものです。
企業端末では、マルウェア感染、フィッシング、認証情報窃取、リモートアクセス侵害などをきっかけに、攻撃者が一部端末上でコードを実行できる状態になることがあります。その後の権限昇格に使われる可能性があるため、エージェント側の更新も重要です。
企業がまず確認すべきこと
対象製品を利用している企業は、まず以下を確認してください。
| 確認項目 | 内容 |
|---|---|
| 対象製品の有無 | TrendAI Apex One、Apex One as a Service、Standard Endpoint Protectionを利用しているか |
| オンプレミス版かどうか | CVE-2026-34926はオンプレミス版でのみ悪用可能とされている |
| サーバのビルド番号 | 対策済みビルドに更新されているか |
| エージェントのビルド番号 | 各端末のエージェントが対策済みか |
| 管理サーバのアクセス制御 | Apex Oneサーバへ不要なアクセスができない状態か |
| 管理者アカウントの利用状況 | 不審なログインや権限利用がないか |
| エージェント配布履歴 | 不審な配布・更新・設定変更がないか |
JVNによると、TrendAI Apex Oneオンプレミス版では、サーバ向けに Service Pack 1 Critical Patch B18012、セキュリティエージェント向けに Agent Build 14.0.18012 が対策として示されています。Apex One as a ServiceおよびStandard Endpoint Protectionでは、サーバ側は2026年4月のメンテナンスで修正済み、エージェントは Agent Build 14.0.20731 が示されています。
対策は「パッチ適用」だけで終わらせない
今回のようなセキュリティ製品の脆弱性では、パッチ適用はもちろん重要です。
ただし、すでに悪用が確認されている脆弱性については、パッチを当てたから終わりではなく、侵害の痕跡確認まで行うべきです。
特にオンプレミス版のApex Oneを利用している場合は、以下の確認をおすすめします。
- Apex Oneサーバに不審なログインがないか
- 管理者権限のアカウントが不自然に使われていないか
- サーバ上の重要ファイルや設定に不審な変更がないか
- エージェントへの配布履歴に不自然な操作がないか
- 管理コンソールが外部や不要なネットワークから到達可能になっていないか
- Apex OneサーバのOS管理者資格情報が漏えいしていないか
CVE-2026-34926の悪用には、Apex Oneサーバへのアクセスや管理者資格情報が必要とされているため、管理サーバ自体のアクセス制御と認証情報の保護が非常に重要です。
なぜセキュリティ製品の脆弱性は危険なのか
今回の事例で重要なのは、守るための製品にも脆弱性は存在するという点です。
エンドポイントセキュリティ製品は、企業内の端末を監視し、マルウェアや不審な挙動を検知する役割を持っています。しかし、その管理サーバやエージェントが攻撃者に悪用されると、攻撃者にとっては非常に強力な足場になります。
特に注意すべきなのは、以下のようなリスクです。
| リスク | 内容 |
|---|---|
| 管理サーバの悪用 | 多数の端末へ影響が広がる可能性がある |
| エージェント配布の悪用 | 正規の配布経路を使って悪意あるコードが展開されるおそれ |
| 権限昇格 | 侵入後の攻撃拡大に使われる可能性 |
| 検知回避 | 防御製品側の仕組みを理解した攻撃につながる可能性 |
| 復旧遅延 | セキュリティ基盤が疑わしい状態になると調査・復旧が難しくなる |
つまり、セキュリティ製品は「入れているから安心」ではなく、常に最新状態で管理し、管理サーバ自体も重要資産として保護する必要があるということです。
モバイル・金融アプリ事業者にも関係する理由
今回の脆弱性は、直接的には企業向けエンドポイントセキュリティ製品の話です。
しかし、金融アプリ、決済アプリ、会員アプリなどを運営する企業にとっても無関係ではありません。
なぜなら、アプリやサービスを支える社内端末、開発端末、管理端末、運用端末が侵害されると、次のようなリスクにつながる可能性があるからです。
- 管理画面の認証情報が盗まれる
- ソースコードや署名鍵にアクセスされる
- 顧客データやログが不正に取得される
- 開発・配布プロセスに不正なコードが混入する
- フィッシングや不正送金対策の運用基盤が狙われる
モバイルアプリの不正対策では、アプリ側のRASPやApp Shieldingだけでなく、社内の端末管理・認証情報管理・セキュリティ製品の運用管理もセットで考える必要があります。
まとめ:悪用確認済みのため、早期確認が必要
TrendAI Apex Oneなどのトレンドマイクロ製品で確認された今回の脆弱性は、単なる定例アップデートの一部として軽く扱うべきものではありません。
特に、CVE-2026-34926については実際の攻撃への悪用が確認されており、オンプレミス版のApex Oneを利用している企業は早急な確認が必要です。
最後に、企業が優先して行うべき対応を整理します。
- 対象製品を利用しているか確認する
- オンプレミス版Apex Oneの有無を確認する
- サーバとエージェントのビルド番号を確認する
- ベンダが提供するパッチを適用する
- 管理サーバへのアクセス制御を見直す
- 管理者アカウントの利用状況を確認する
- 不審なエージェント配布や設定変更がないか確認する
セキュリティ製品は、企業を守るための重要な基盤です。
だからこそ、その製品自体の脆弱性情報にも継続的に注意を払い、パッチ適用と侵害確認をセットで進めることが重要です。
FAQ
TrendAI Apex Oneの脆弱性はすでに悪用されていますか?
はい。トレンドマイクロは、今回確認された複数の脆弱性のうち、CVE-2026-34926が実際の攻撃に利用されたことを確認していると公表しています。
影響を受けるのはオンプレミス版だけですか?
CVE-2026-34926については、TrendAI Apex Oneのオンプレミス版でのみ悪用可能とされています。ただし、Apex One as a ServiceやStandard Endpoint Protectionでも、セキュリティエージェント側の権限昇格につながる脆弱性が対象に含まれています。
CVSSが中なら急がなくてもよいですか?
いいえ。CVE-2026-34926のCVSS v3.1スコアは6.7ですが、実際の攻撃への悪用が確認されています。CVSSスコアだけで判断せず、製品の役割や悪用状況を踏まえて早期対応する必要があります。
企業はまず何を確認すべきですか?
まず、TrendAI Apex Oneオンプレミス版を利用しているか、サーバとエージェントが対策済みビルドになっているかを確認してください。加えて、Apex Oneサーバへの不審なログインや、エージェント配布履歴に不審な操作がないかも確認することをおすすめします。
参考情報
- JPCERT/CC「TrendAI Apex Oneなどのトレンドマイクロ製品における複数の脆弱性に関する注意喚起」
- JVN「トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性」
- トレンドマイクロ「TrendAI Apex Oneなどで確認された複数の脆弱性について」
- NVD「CVE-2026-34926」