ラボまとめコラムニュース
ブログ/記事一覧/IBM 2026年5月の脆弱性まとめ:WebSphere RCE と ELM 認可バイパスが中心
ibm-vulnerability-roundup-2026-05-cover-ja

IBM 2026年5月の脆弱性まとめ:WebSphere RCE と ELM 認可バイパスが中心

IBMが2026年5月に公開した脆弱性が10件超。WebSphere ASの未認証RCE(CVE-2026-8633)とELMの未認証認可バイパス(CVE-2026-3660)がともにCVSS 9.8。日本の大手金融・製造のシステム部門がまず確認すべき優先順位と、Interim Fix適用の実務手順を整理。

ニュース 本日更新
avatar-m-1

堀川 慎

Backend Engineer / AWS / Django

2026.05.279 min3 views
Share X B! Hatena LINE in LinkedIn RSS
この記事のポイント

IBMが2026年5月に公開した脆弱性が10件超。WebSphere ASの未認証RCE(CVE-2026-8633)とELMの未認証認可バイパス(CVE-2026-3660)がともにCVSS 9.8。日本の大手金融・製造のシステム部門がまず確認すべき優先順位と、Interim Fix適用の実務手順を整理。

2026年5月後半、IBMの企業向け製品で脆弱性が一気に10件超

2026年5月後半、IBM が WebSphere Application Server と Engineering Lifecycle Management(ELM)を中心に、企業向け製品のセキュリティ警告を10件以上一気に公開しました。中でも CVSS スコアが 9.8(Critical)の認証不要・遠隔攻撃可能な案件が2件含まれており、日本の大手金融機関や製造業のシステム部門にとっては、5月から6月にかけてのパッチ管理計画を組み直すレベルの規模でございます。

本記事では、WebSphere Application Server の Web Server Plug-ins における遠隔コード実行(CVE-2026-8633)と、ELM の認可バイパス(CVE-2026-3660)を中心に、関連する中位の脆弱性まで含めて優先順位順に整理いたします。「自社のWebSphereは8.5系?9.0系?Liberty?どれから手を付ければいいのか」「ELM 7.x はインテリムフィックス当たっているか」を判断する材料として使える形にまとめました。

2026年5月26日時点で、上位2件のいずれも CISA の実害確認リスト(KEV)には未登録、公開された PoC(実証コード)も確認されておりません。攻撃中という意味での緊急度は中だが、CVSS と未認証RCE という性質を考えるとパッチ猶予は1〜2週間以内と読むのが妥当でございます。

2026年5月のIBM脆弱性 一覧表

公開されている主要な案件を、影響範囲の広さと深刻度で並べました。日本企業のシステム部門が触っている可能性の高い順で並べております。

CVE製品CVSSタイプ認証
CVE-2026-8633WebSphere AS
Web Server Plug-ins (8.5/9.0)		9.8RCE不要
CVE-2026-3660Engineering Lifecycle Management
(7.0.3 / 7.1.0 / 7.2.0)		9.8認可バイパス不要
CVE-2026-1561WebSphere AS LibertySSRF不要
CVE-2026-29063immutable
(Liberty同梱ライブラリ)		Prototype Pollution不要
CVE-2026-1188WebSphere AS
(Java SDK経由・複数製品同梱)		情報開示不要
CVE-2026-32776
/32777/32778		IBM HTTP Server
(libexpat由来 3件)		XML処理の欠陥不要
CVE-2026-21925
/21945		WebSphere AS
(DevOps Code ClearCase同梱)		複数不要
CVE-2026-1726Guardium Key Lifecycle Manager
(4.1〜5.1)		権限昇格

CVSS 9.8 の上位2件と、中位の脆弱性群でリスクの色が違います。次以降のセクションで、優先度の高いものから順番に詳しく見ていきます。

最優先:WebSphere Application Server の遠隔コード実行(CVE-2026-8633)

2026年5月に出たIBM脆弱性の中で最も深刻なのが、CVE-2026-8633でございます。IBM公式のセキュリティ警告によれば、WebSphere Application Server と WebSphere Application Server Liberty が同梱する Web Server Plug-ins コンポーネントに、細工した HTTP リクエスト一発でサーバー上で任意コードを実行できる欠陥が見つかりました。

脆弱性の分類は CWE-94: コード生成の不適切な制御(コードインジェクション)。CVSS ベクトルは `AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` で、ネットワーク経由・複雑度低・認証不要・ユーザー操作不要、機密性/完全性/可用性すべて高、というほぼ最悪に近いプロファイルでございます。

影響を受けるのは WebSphere Application Server の バージョン 8.5 系と 9.0 系、および Liberty 系のうち Web Server Plug-ins を組み合わせて使っているもの。WebSphere は日本の大手金融機関の勘定系まわり、流通の基幹系、製造業の生産管理システム、官公庁の基幹システムで Java EE / Jakarta EE のアプリサーバーとして広く採用されています。特に8.5系は2014年リリースで延長サポートを買って使い続けている組織が多く、本件はそうした「動いているから触れない」資産の塊にピンポイントで当たります。

幸い、5月26日時点で公開PoCは確認されておらず、CISA KEV にも未登録でございます。それでも、未認証 RCE という性質上、CVE 採番からPoCが流通するまでの時間は短い見込みです。IBM のセキュリティ警告に従って Interim Fix を適用してください。当面パッチが当てられない場合は、Web Server Plug-ins を経由しない構成への切替えと、WAF(Webアプリケーションファイアウォール)側での該当パターンの遮断ルール追加が現実解でございます。

次点:Engineering Lifecycle Management の認可バイパス(CVE-2026-3660)

同日付で公開されたCVE-2026-3660は、ELM(Engineering Lifecycle Management)に対する未認証の認可バイパスでございます。CVSS 9.8、分類は CWE-863: Incorrect Authorization。攻撃者は認証情報を一切持たない状態で、本来は権限が必要なリソースへアクセスできてしまいます。

ELM は IBM が提供する大規模システム開発向けのライフサイクル管理スイートで、要件管理(DOORS Next)、テスト管理(Engineering Test Management)、ワークアイテム・プロジェクト管理(Engineering Workflow Management)といったツールを束ねたものでございます。自動車・航空・防衛・医療機器・規制下のソフト開発で広く採用されており、日本国内でも大手自動車メーカーや航空機・防衛系のサプライヤー、医療機器メーカーで使われています。

影響範囲は以下の通りで、IBM のセキュリティ警告でそれぞれの Interim Fix が提示されています。

  • ELM 7.0.3 Interim Fix 021 まで → IF022 以降に更新
  • ELM 7.1.0 Interim Fix 009 まで → IF010 以降に更新
  • ELM 7.2.0 Interim Fix 001 まで → IF002 以降に更新

ELM は組織内ネットワークに閉じて運用しているケースが多く、外部からの直接攻撃可能性は WebSphere の本件より低めです。とはいえ「設計データ・要件定義・テストケース」という製品ライフサイクル全体の知的財産が集約されたリポジトリであり、内部ネットワーク侵入後の横展開フェーズで真っ先に狙われる候補です。Interim Fix の適用は今四半期内に必ず計画に入れる対象でございます。

関連の中位脆弱性:Liberty SSRF、IBM HTTP Server libexpat 3件 ほか

CVSS 上位の2件ほどではないものの、同じパッチサイクルで処理しておきたい中位の案件を整理します。

CVE-2026-1561:WebSphere Application Server Liberty の SSRF

Liberty が受け取ったリクエストを内部の別エンドポイントへ転送する処理に欠陥があり、攻撃者がサーバーの内側にあるリソースへ間接的にリクエストを送れる、というタイプの脆弱性でございます。修正は Liberty Fix Pack 26.0.0.4 以降で、IBM は2026年Q2 を目標公開時期として案内しています。クラウド事業者管理マネージドサービスを使っているなら自動更新されますが、自社運用 Liberty の組織は Fix Pack の到着待ちでございます。

CVE-2026-32776 / 32777 / 32778:IBM HTTP Server の libexpat 由来の脆弱性 3件

IBM HTTP Server が内部で使っている XML 処理ライブラリ libexpat 由来の脆弱性が3件まとめて影響します。本体のRCEには直結しませんが、XML を多く処理する SOAP / WS-* 系のミドルウェアを WebSphere 経由で公開している場合は、サービス停止やメモリ破壊につながる可能性があるため、HTTP Server コンポーネントを最新版へ更新してください。

▼ CVE-2026-29063:immutable ライブラリの Prototype Pollution

Liberty 同梱の JavaScript ライブラリ immutable の `mergeDeep()` 系 API に起因する Prototype Pollution。Liberty 上で Node.js 系のスクリプトを動かしていない大半の WebSphere ユーザーには直接の影響は小さいですが、Liberty 経由で JavaScript 実行環境を提供している組織は対象でございます。

CVE-2026-1726:IBM Guardium Key Lifecycle Manager の権限昇格

Guardium Key Lifecycle Manager(GKLM、旧称 Tivoli Key Lifecycle Manager)はストレージ暗号化や HSM の鍵管理に使う重要コンポーネントで、影響範囲は 4.1〜5.1。認証必須なので外部からのいきなりの攻撃は成立しませんが、内部に侵入された後の横展開で鍵管理基盤を取られると暗号化資産全体が無力化されます。セキュリティ基盤への波及という意味で軽視できない案件でございます。

日本企業のパッチ優先順位はどう決めるべきか(筆者の見解)

ここからは筆者の見解として、日本の大手企業のシステム部門が今回のIBM案件をどう優先順位付けすべきかを整理します。CVSS スコアだけで並べると WebSphere RCE と ELM 認可バイパスが同列の 9.8 ですが、実務的な優先順位はこの2件で大きく異なると考えております。

第一に WebSphere RCE(CVE-2026-8633)。これは「外部公開している WebSphere があるかどうか」で判断が分かれます。インターネット直結の WebSphere が一台でも残っていれば、これは今週中の Interim Fix 適用が前提。社内ネットワーク内に閉じている WebSphere であっても、内部の踏み台経由での攻撃が成立する以上、2週間以内のパッチが妥当でございます。

第二に ELM 認可バイパス(CVE-2026-3660)。ELM はほぼ確実に組織内ネットワーク運用なので、外部からのダイレクト攻撃の優先度は WebSphere より下がります。ただし、ELM が抱えている情報(要件・設計・テストケース)は、規制下のソフトウェア開発を行っている企業にとって知財そのものです。次の四半期のパッチサイクル(最大で約3ヶ月)以内には必ず適用、と読みます。

第三に、中位の SSRF / libexpat / immutable 系。これらは Fix Pack の到着待ちの間に、WAF やネットワーク分離で間接的にリスクを下げる時間が稼げます。緊急性は WebSphere RCE と ELM の後で、定例パッチサイクルに乗せれば十分でございます。

逆に言うと、日本企業のシステム部門でよくある「CVSS 9.0以上を全部同列で扱う」運用ルールはこの局面では効率を落とします。WebSphere RCE と ELM 認可バイパスを同列で扱うと、ELM 側に過剰なリソースが回り、本来即パッチが必要な WebSphere 側が遅れる、という結果に陥りがちでございます。

なぜIBMだけ脆弱性がこの時期に集中して公開されるのか(筆者の見解)

IBM のセキュリティ警告は、毎年5月・8月・11月・2月あたりに大量公開される傾向がございます。これは筆者の見解になりますが、背景には2つの構造要因があります。

1つ目は Oracle Java CPU(Critical Patch Update)の四半期サイクルです。IBM の WebSphere や ELM は内部で IBM Java SDK(Oracle JDK のフォーク)を抱えており、Oracle の四半期CPUに連動して IBM 側も四半期で対応パッチを切るルーティンになっています。4月の Oracle CPU を受けての対応版が5月後半に出る、というのが今回の規則的な流れでございます。

2つ目は、IBM 製品が大量の OSS コンポーネントを同梱している構造です。WebSphere ひとつ取っても、Java SDK・libexpat・各種 JS ライブラリ・XML パーサーといった上流の OSS を取り込んでおり、上流の脆弱性が見つかるたびに「IBM 製品としての影響を再評価して公開する」というプロセスが回ります。今回の libexpat 3件や immutable 1件は、まさに上流由来の波及です。

この構造のため、IBM 系を運用している組織はパッチ管理計画を「個別 CVE への反射的対応」ではなく、「四半期ごとのまとまり対応」に組み替えるのが現実的でございます。年4回の定例パッチウィンドウを最初から押さえておき、CVSS 9.8の例外案件だけ随時対応の枠で処理する、というハイブリッドが筆者は妥当と考えております。

Interim Fix 適用の現実:本番システムで踏むべき手順

本記事は脆弱性ニュースまとめでパッチ手順書ではないので詳細は IBM 公式に譲りますが、Interim Fix を本番で当てる際の最低限の手順を整理しておきます。WebSphere / ELM ともにおおむね共通でございます。

  • IBM Fix Central から該当バージョン用の Interim Fix を取得
  • 事前検証環境(DEV/STG)に同じ Fix を適用、回帰テストを実施
  • 本番適用はサービス停止ウィンドウを確保したうえで段階適用(ノードごとに、ロードバランサ側でドレインを入れながら)
  • 適用後の検証として versionInfo.sh(WebSphere)相当のバージョン表示で Fix 番号を確認
  • ロールバック計画として、Fix 適用前のバイナリ一式と JVM 設定のバックアップを事前確保

日本の大手企業の現場で特に注意したいのは、WebSphere 8.5 系のように延長サポート(Continuous Delivery)契約に切り替えていないと、そもそも Interim Fix が降ってこないケースでございます。古いバージョンを使い続けているなら、まず IBM との契約状況を確認するところから入ってください。

よくある質問

Q. CVE-2026-8633 はすでに攻撃に使われていますか?

2026年5月26日時点で、CISA の Known Exploited Vulnerabilities(KEV)カタログに本件は登録されておらず、公開PoCも確認されていません。ただし未認証RCEというプロファイルからPoC流通までの時間は短い見込みのため、即パッチが妥当でございます。

Q. WebSphere Liberty を使っている場合、影響を受けますか?

本件 CVE-2026-8633 は Web Server Plug-ins コンポーネントの脆弱性のため、Liberty 単体で Plug-ins を使っていなければ直接の影響は限定的です。ただし Liberty 系には別途 CVE-2026-1561(SSRF)や CVE-2026-29063(immutable)の影響があるため、Liberty Fix Pack 26.0.0.4 以降の到着を待って適用してください。

Q. ELM の Interim Fix 番号はどこで確認できますか?

IBM のCVE-2026-3660セキュリティ警告ページに、ELM 7.0.3 / 7.1.0 / 7.2.0 それぞれの修正 Interim Fix 番号が記載されています。本番適用前に Fix Central から取得して検証してください。

Q. WebSphere 8.5 を使い続けている場合、Interim Fix は降ってきますか?

WebSphere 8.5 は標準サポート期間外で、延長サポート(Continuous Delivery)契約に切り替えていないと Interim Fix は配信されません。IBM との契約状況を確認し、必要なら 9.0 系または Liberty への移行計画を立てる検討時期でございます。

更新履歴

  • 2026-05-27: 初版公開。WebSphere Application Server Web Server Plug-ins RCE(CVE-2026-8633)と Engineering Lifecycle Management 認可バイパス(CVE-2026-3660)を中心に、関連の中位脆弱性まで含めて整理

参照元