Trend Micro の企業向けエンドポイントセキュリティプラットフォーム「Apex One」に、実攻撃での悪用が確認されたゼロデイ脆弱性(CVE-2026-34926)が存在することが明らかになった。米国土安全保障省のサイバーセキュリティ機関 CISA は連邦機関に対し、6月4日までのパッチ適用を義務付けた。

CVE-2026-34926 の概要:管理者権限が条件のディレクトリトラバーサル

今回の脆弱性はオンプレミス版 Apex One サーバーに存在するディレクトリトラバーサル(パストラバーサル)の問題だ。攻撃者がこれを悪用すると、サーバー上のキーテーブルを書き換え、管理下のエージェントへ悪意のあるコードを配布できてしまう。

悪用条件は以下のとおりで、比較的ハードルは高い:

  • 攻撃はオンプレミス版のみ(クラウド版は対象外)
  • Apex One サーバーへのローカルアクセスが必要
  • 管理者資格情報を別の手段で事前取得済みであること

Trend Micro は「TrendAI が実環境での悪用試行を少なくとも1件観測している」と発表しており、理論上の問題ではなくアクティブな脅威として取り扱われている。

CISA が KEV リストに追加、連邦機関に6月4日の期限

CISA は CVE-2026-34926 を「既知の悪用済み脆弱性(KEV)」カタログに追加し、BOD 22-01 に基づいて連邦機関に期限付きのパッチ適用を命じた。CISA は「この種の脆弱性は悪意ある攻撃者にとって頻繁な攻撃ベクターであり、連邦政府のシステムに重大なリスクをもたらす」と警告している。

KEV への追加は民間企業にとっても重要なシグナルだ。米連邦機関が使用していることが多い製品・バージョンは、民間セクターでも広く展開されているケースが多く、攻撃者の関心を引きやすい。

同時リリースされた7件の特権昇格パッチ

Trend Micro は CVE-2026-34926 に加え、Apex One SEP(Standard Endpoint Protection)エージェントに存在する7件のローカル特権昇格(LPE)脆弱性への修正も同日公開した。これらは低権限コードの実行権限を持つ攻撃者が悪用可能なもので、ゼロデイ脆弱性との組み合わせ攻撃に利用されるリスクがある。

Apex One は過去にも繰り返し標的に

Apex One に対するゼロデイ攻撃は今回が初めてではない。過去の主な事例は以下のとおりだ:

CVE 年月 内容

CVE-2022-40139 2022年9月 ゼロデイ、野外で悪用

CVE-2023-41179 2023年9月 ゼロデイ、野外で悪用

CVE-2025-54948 2025年8月 RCE、野外で悪用

CVE-2026-34926 2026年5月 今回の脆弱性

CISA の KEV カタログには現在、Trend Micro Apex 関連の脆弱性が12件登録されている。エンドポイントセキュリティ製品自体が継続的な攻撃対象になっているという事実は、改めて重く受け止める必要がある。

実務への影響:Apex One オンプレミス環境を持つ組織は即対応を

Apex One オンプレミス版を運用している組織は、今すぐ以下を確認したい:

  • パッチ適用状況の確認: Trend Micro が提供する最新修正プログラムを適用する。CISA の6月4日という期限は連邦機関向けだが、民間企業でも同等の緊急度で扱うべきだ
  • 管理者アカウントの棚卸し: この脆弱性の前提条件は「管理者資格情報の侵害」だ。Apex One サーバーへのアクセス権を持つアカウントを洗い出し、不要な常時付与になっていないかを確認する
  • 多要素認証(MFA)の徹底: 管理者アカウントへの MFA が未適用であれば最優先で有効化する
  • SEP エージェントの LPE パッチも忘れずに: 今回は7件の特権昇格パッチも同時にリリースされている。ゼロデイだけを急いで、こちらを放置するパターンが現場では起きがちだ

クラウド版(Apex One as a Service)を利用している組織は今回の CVE-2026-34926 の対象外だが、SEP エージェントの LPE 脆弱性については確認が必要だ。

筆者の見解

今回の脆弱性でまず気になるのは、「悪用の前提条件が管理者権限の侵害」という点だ。セキュリティ製品のサーバーへの管理者権限が他の経路で奪われた後、コードを全エージェントに配布できてしまう。これはいわゆる「セキュリティ製品を踏み台にしたラテラルムーブメント」の典型的なパターンであり、組み合わせ攻撃として非常に厄介だ。

「管理者資格情報が必要だから現実には難しい」という楽観論は危険だ。資格情報の侵害は今日の攻撃で最もよく使われる初期侵入後の手法であり、一度内部に入られた後の攻撃チェーンとして十分に現実的なシナリオだ。「今動いているから大丈夫」という判断は禁物だ。

より本質的な問題として、Apex One が過去数年間にわたって繰り返しゼロデイ攻撃の標的になっているという事実に向き合う必要がある。エンドポイントセキュリティ製品は高い権限でシステム上で動作するため、攻撃者にとって魅力的な標的になりやすい。これはTrend Microに限った話ではなく、エンドポイントセキュリティ製品全般に言えることだが、だからこそ Apex One サーバーへのアクセス管理には、Just-In-Time(JIT)アクセスや厳格な特権アカウント管理を適用することが実務上の正解だ。

管理コンソールへの常時管理者権限の付与こそが今回の脆弱性を「使える攻撃手法」にしている。パッチは当然急ぐべきだが、同時にアクセス制御の見直しをセットで行う機会にしたい。

出典: この記事は Trend Micro warns of Apex One zero-day exploited in the wild の内容をもとに、筆者の見解を加えて独自に執筆したものです。