日本のサイバーセキュリティソフトウェア企業である **Trend Micro** は、同社のエンドポイントセキュリティプラットフォームである Apex One に影響を与える重大なゼロデイ脆弱性に対処しました。 Apex One は、**Trend Micro** のエンタープライズグレードのエンドポイントセキュリティソリューションであり、マルウェア、ランサムウェア、ファイルレス攻撃、Webベースの攻撃など、幅広い脅威から企業ネットワークを保護するように設計されています。 ## CVE-2026-34926: ディレクトリトラバーサル（Path Traversal）脆弱性 **CVE-2026-34926** として追跡されているこの脆弱性は、Apex One のオンプレミスバージョンに存在するディレクトリトラバーサル（Path Traversal）の欠陥です。これにより、管理者権限を持つ認証済みのローカル攻撃者がサーバー上の重要なテーブルを変更し、悪意のあるコードを挿入することが可能になり、そのコードが影響を受けるインストール環境のエージェントに展開される可能性があります。 「Apex One（オンプレミス）サーバーにおけるディレクトリトラバーサル（Path Traversal）脆弱性は、認証済みのローカル攻撃者がサーバー上の重要なテーブルを変更し、影響を受けるインストール環境のエージェントに展開するための悪意のあるコードを挿入することを可能にする可能性があります」と **Trend Micro** はセキュリティアドバイザリで述べています。 この脆弱性の悪用には、攻撃者が Apex One サーバーへのローカルアクセスと、既存の管理者資格情報の両方を持っている必要がありますが、**Trend Micro** は **TrendAI** を介して、実際に悪用が試みられていることを確認しています。 ## CISA による義務付け: 6月4日までにパッチ適用 この脅威の重大性を認識し、**CISA** は **CVE-2026-34926** を、実際に悪用されている脆弱性のカタログに追加しました。連邦機関は現在、6月4日までに必要なパッチを適用するよう命じられています。 「これらの種類の脆弱性は、悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と **CISA** は警告しています。同機関は、ベンダーの指示に従って緩和策を適用すること、クラウドサービスについては適用可能な BOD 22-01 ガイダンスに従うこと、または緩和策が利用できない場合は製品の使用を中止することを推奨しています。 ## 追加の脆弱性への対処 ゼロデイ脆弱性に加えて、**Trend Micro** は Apex One Standard Endpoint Protection（SEP）エージェントにおける7つのローカル権限昇格脆弱性に対処するためのアップデートもリリースしました。これらの欠陥は、ターゲットシステム上で低権限のコードを実行できる攻撃者によって悪用される可能性があります。 ## Apex One の脆弱性の歴史 過去数年間、**Trend Micro** Apex One の欠陥は、しばしばゼロデイ攻撃において、脅威アクターの標的となってきました。過去の事例には以下が含まれます。 * 2025年8月: 実際に悪用された Apex One RCE バグ (**CVE-2025-54948**) * 2022年9月: 実際に悪用された2つのゼロデイ (**CVE-2022-40139**) * 2023年9月: 攻撃で悪用されたゼロデイ (**CVE-2023-41179**) **CISA** は現在、攻撃で悪用された、または現在も悪用されている **Trend Micro** Apex の脆弱性を12件追跡しています。  ## バリデーションギャップ: 自動ペネトレーションテストの限界 自動ペネトレーションテストツールは価値を提供しますが、主に「攻撃者はネットワーク内を移動できるか？」という1つの質問に答えるだけです。それらは、制御が脅威をブロックしているか、検出ルールがトリガーされているか、クラウド構成が安全であるかなどを評価しません。包括的なバリデーション戦略には、6つの主要なサーフェスの評価が必要です。[詳細についてはガイドをダウンロード](https://hubs.li/Q048zztN0)。