2026年上半期、日本企業をねらった重大な脆弱性まとめ
2026年上半期、日本企業がよく使う製品で見つかった重大な脆弱性を横断でまとめたハブです。富士通ServerView・NEC Aterm・トレンドマイクロApex Oneなどの国産大手から、Oracle・IBM・F5・Drupal・SharePointといった海外製品まで、情シスが押さえるべき案件だけを厳選。JVNとCISA KEVの違い、上半期の傾向、いま確認すべきことを解説します。
堀川 慎
Backend Engineer / AWS / Django / Go
2026年上半期、日本企業がよく使う製品で見つかった重大な脆弱性を横断でまとめたハブです。富士通ServerView・NEC Aterm・トレンドマイクロApex Oneなどの国産大手から、Oracle・IBM・F5・Drupal・SharePointといった海外製品まで、情シスが押さえるべき案件だけを厳選。JVNとCISA KEVの違い、上半期の傾向、いま確認すべきことを解説します。
2026年1月から6月にかけて、日本企業の現場を直撃した重大な脆弱性が相次ぎました。富士通やNECといった国産大手の製品から、Microsoft・Oracle・Citrixなど国内で広く使われる海外製品まで、社内システムの根っこを揺らす欠陥が次々と公開されています。このページは、その中でも国内の大企業や官公庁、金融、製造の現場が「自分ごと」として確認すべき案件だけを横断でまとめたものです。
個別の脆弱性は1件ずつ追えば把握できます。ですが、横断で並べて初めて見えてくるものがあります。攻撃者は製品名で標的を選びません。「認証を回避できる入口」「保守が切れて放置された機器」を順番に潰していくだけです。だからこそ、自社が使っている製品が今期どれだけ穴を開けたのかを一度まとめて確認しておく価値があります。
以下では、まず日本の脆弱性情報をどこで確認できるのかを押さえたうえで、製品のジャンルごとに重要案件を整理し、最後に上半期に共通して見えた傾向と、情シスがいま確認すべきことをまとめます。
日本の脆弱性情報はどこで分かるのか(JVNとは)
日本の脆弱性情報を確認する起点になるのが、JVN(Japan Vulnerability Notes)です。これは、IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター、国内のセキュリティ事故対応を調整する組織)が共同で運営している、日本語の脆弱性情報ポータルです。国内ベンダーが届け出た脆弱性や、海外で公開された脆弱性のうち日本に関係するものが、日本語の解説付きで掲載されます。掲載元はJVN(jvn.jp)と、より網羅的なJVN iPedia(jvndb.jvn.jp)の2つに分かれています。JPCERT/CCは緊急性の高いものについて注意喚起も出すため、まずこのあたりを購読しておくのが基本です。
IPAの集計では、2026年第1四半期にJVN iPediaへ登録された脆弱性のうち、最も深刻な「緊急」が全体の約16%を占めました。件数自体が増え続けているため、すべてを追うのは現実的ではありません。自社が使っている製品に絞って拾う仕組みが要ります。
日本のJVNとよく対比されるのが、米国政府機関CISAが公開している「実際に攻撃へ使われている脆弱性のリスト(KEV、Known Exploited Vulnerabilities)」です。JVNが「危ない欠陥が見つかった」という発見ベースの情報なのに対し、KEVは「すでに攻撃に悪用されている」という実害ベースで、米政府機関には修正期限が課されます。つまり優先度の付け方が違います。両方を突き合わせると、「危なくて、かつ実際に攻撃されている」最優先の案件が浮かび上がります。KEVについては、全件を日本語で検索できるダッシュボードを別途用意しています。
国産大手製品で見つかった重大な脆弱性
まずは国内のメーカーが作っている、社内に必ずと言っていいほど入っている製品からです。サーバー管理ソフトや業務用Wi-Fiルーター、社内PCを守るウイルス対策ソフトといった、止まると業務全体に響くものが並びました。
富士通系のサーバー管理ソフト「ServerView」では、CVE-2026-27788とCVE-2026-32325という権限奪取の脆弱性が公開されました。一般の利用者権限しか持たない人が、サーバーの管理者権限を奪える恐れがあります。サーバーの監視・管理に使うソフトだけに、ここを取られると土台ごと持っていかれます。
NECの家庭・小規模オフィス向けWi-Fiルーター「Aterm」では、人気の9機種に新たな脆弱性が見つかりました(管理識別子 NV26-002/NV26-003)。3月に出た大型修正に続く第2弾で、テレワークの自宅回線や支店の小規模拠点で使っている例も多く、台数が多いだけに更新漏れが残りやすい点が厄介です。
トレンドマイクロの法人向けウイルス対策ソフト「Apex One」では、管理画面が乗っ取られ、そこを足がかりに全社のPCへ侵入される恐れのある重大な脆弱性が公開されました。守るための製品が侵入口になる構図で、影響範囲が社内全体に及ぶため優先度は高いです。
それぞれの詳しい内容、対象機種、修正版や対処は個別の記事にまとめています。
基幹システム(IBM・Oracle)で見つかった重大な脆弱性
次に、大企業の基幹業務を支えているIBMとOracleの製品です。会計や受発注、放送・金融のファイル転送など、止められない処理が動いている領域です。
Oracleは2026年に月次パッチ配信へ移行し、その初回でCVE-2026-46840という最悪級(深刻度を表すCVSSが最大の10.0)の乗っ取り欠陥を含む35件を公開しました。Oracle製品は基幹システムに深く入っているため、適用計画そのものが大仕事になります。
IBMは5月に複数製品の脆弱性をまとめて公開し、中でも企業システムの土台となるアプリ実行基盤「WebSphere」のCVE-2026-8633は、サーバーを乗っ取られる重大な欠陥でした。さらに、放送局や大企業が大容量ファイルの転送に使う「Aspera」でも、CVE-2026-8175とCVE-2026-8179という2件のメモリ破壊(バッファオーバーフロー)の脆弱性が公開されています。
ネットワーク機器・社内基盤で見つかった重大な脆弱性
社外と社内の境目に置かれるネットワーク機器は、攻撃者が最初に狙う入口です。インターネットに面しているうえ、一度抜かれると社内全体に手が届くため、ここの脆弱性は特に重く扱う必要があります。
負荷分散やVPNで使われるF5の「BIG-IP」では、CVE-2025-53521が当初は通信妨害(サービス停止)の扱いだったものが、3月に得られた新情報で遠隔からコードを実行されうる乗っ取りに再分類されました。これは米CISAの「実際に攻撃に使われている脆弱性のリスト(KEV)」にも追加され、米政府機関には3月30日までの修正期限が課されています。
Ubiquitiの社内ネットワーク機器「UniFi」では、認証なしで社内通信をのぞき見られる恐れのある最高クラスの脆弱性が5件まとめて公開されました。社内のスイッチやアクセスポイントとして広く使われており、台数が多い組織ほど影響が広がります。文書共有では、企業向けファイル共有製品「Gladinet Triofox」で、認証なしで遠隔からコードを実行できる重大な脆弱性が3件(CVE-2026-8362/8363/8364)公開されています。
また、官公庁や大企業のサイト構築に多く使われるCMS「Drupal」では、CVE-2026-9082というSQLインジェクション(不正な命令文を送り込んでデータベースを操作する攻撃)の脆弱性が、すでに攻撃へ悪用されているとしてKEVに追加され、米政府機関には5月27日までの修正が命じられました。同じくMicrosoftの社内ポータル「SharePoint」とCiscoのファイアウォール管理ソフト「FMC」でも、認証不要で乗っ取り可能な緊急の脆弱性が公開され、即時のパッチ適用が呼びかけられています。
業務Webアプリ(採用・ヘルプデスク・ログイン基盤)で見つかった重大な脆弱性
最後に、人事や情シスが日常的に使う業務Webアプリです。表に出にくい裏方のシステムですが、求職者の個人情報や社員のログイン情報といった、漏れると影響の大きいデータを扱っています。
問い合わせ管理(ヘルプデスク)の「OTRS」では、特定の設定だと認証なしで侵入されうるSQLインジェクションの脆弱性CVE-2026-48188が公開されました。採用管理の「OpenCATS」では、CVE-2026-49489により求職者データが流出する恐れが指摘されています。応募者の個人情報を大量に抱えるシステムだけに、漏えい時の影響は小さくありません。
社内の各種サービスへのログインをまとめるシングルサインオン(一度のログインで複数サービスを使える仕組み)の基盤「Casdoor」では、認証回避の脆弱性が9件(CVE-2026-9090ほか)公開されました。ログインの土台が抜かれると、つながっている業務システム全体に影響が及びます。公開時点で修正版が用意されていない点も含め、扱いには注意が要ります。
2026年上半期 重要案件の早見表
ここまでの案件を一覧にまとめます。「攻撃悪用」の列は、米CISAの実際に攻撃へ使われている脆弱性のリスト(KEV)に載っているかどうかです。横スクロールで全体を確認できます。
| 製品 | CVE番号 | どうなるか | 攻撃悪用 | 対処 |
|---|---|---|---|---|
| 富士通 ServerView (サーバー管理) | CVE-2026-27788 CVE-2026-32325 | 管理者権限を 奪われる | ― | 公式情報を参照 |
| NEC Aterm (Wi-Fiルーター) | NV26-002 NV26-003 | 機器を 乗っ取られる | ― | 公式情報を参照 |
| トレンドマイクロ Apex One | 公式情報を参照 | 管理画面経由で 全社PCに侵入 | ― | 修正版へ更新 |
| Oracle 月次パッチ (基幹システム) | CVE-2026-46840 ほか計35件 | 乗っ取り (深刻度10.0) | ― | 月次パッチ適用 |
| IBM WebSphere (アプリ基盤) | CVE-2026-8633 | サーバーを 乗っ取られる | ― | 修正版へ更新 |
| IBM Aspera (ファイル転送) | CVE-2026-8175 CVE-2026-8179 | メモリ破壊で 乗っ取りの恐れ | ― | 修正版へ更新 |
| F5 BIG-IP (負荷分散・VPN) | CVE-2025-53521 | 遠隔から コード実行 | KEV該当 | 修正版へ更新 |
| Ubiquiti UniFi (社内NW機器) | 公式情報を参照 (5件) | 認証なしで 通信をのぞき見 | ― | 修正版へ更新 |
| Gladinet Triofox (ファイル共有) | CVE-2026-8362 /8363/8364 | 認証なしで コード実行 | ― | 修正版へ更新 |
| Drupal (官公庁CMS) | CVE-2026-9082 | 権限昇格・ コード実行 | KEV該当 | 修正版へ更新 |
| SharePoint / Cisco FMC | 公式情報を参照 | 認証不要で 乗っ取り | KEV該当 | 即時パッチ適用 |
| OTRS (ヘルプデスク) | CVE-2026-48188 | 特定設定で 無認証侵入 | ― | 公式情報を参照 |
| OpenCATS (採用管理) | CVE-2026-49489 | 求職者データ 流出の恐れ | ― | 公式情報を参照 |
| Casdoor (ログイン基盤) | CVE-2026-9090 ほか計9件 | 認証回避 | ― | 公式情報を参照 |
各案件の正確なCVSS値・対象バージョン・修正版番号は、上の個別記事および各ベンダーの公式アドバイザリ、JVNを必ず確認してください。
2026年上半期に共通して見えた傾向(筆者の見解)
ここからは事実の整理ではなく、上半期の案件を並べて筆者が感じたことを書きます。あくまで持論として読んでください。
筆者の見解では、今期もっとも目立ったのは「認証を回避できる」「そもそも認証が要らない」タイプの脆弱性の多さです。F5 BIG-IP、Drupal、SharePoint、Cisco FMC、Gladinet Triofox、Casdoor、OTRS。ジャンルはバラバラなのに、入口で食い止めるはずの認証が機能しないという点で共通していました。攻撃者から見れば、IDもパスワードもいらずに最初の一歩を踏める入口が、それだけ多く転がっていたということです。
次に感じたのは、国産か海外製かは関係なく、基幹に近いものほど狙われているという点です。富士通のサーバー管理、IBMのアプリ基盤やファイル転送、Oracleの基幹システム、ログインをまとめるCasdoor。いずれも「そこを取れば横に広げやすい」場所です。守りを固めるなら、まずこうした土台部分から優先順位を付けるべきだと考えています。
もう一つ気になったのは、修正版が公開時点で用意されていない、あるいは保守が手薄になった製品が放置されやすいことです。Casdoorのように修正版なしで公開された案件もありますし、Atermのように台数が多くて更新が行き渡らない例もあります。困ったことに、攻撃者はこの「直したくても直せない」「直し忘れている」隙間を正確に突いてきます。
まとめると、今期の脅威は派手な新手口というより、「入口の認証」「基幹の土台」「直されない放置機器」という昔からの弱点に集中していた、というのが筆者の見立てです。裏を返せば、対策の方向もそこに絞れます。
情シスがいま確認すべきこと
上半期の傾向を踏まえると、確認すべきことは大きく4つに絞れます。網羅的に身構えるより、効くところから手を付けるのが現実的です。
1つ目は、資産の棚卸しです。早見表に並べた製品のうち、自社で使っているものはどれか。特にインターネットに面した機器(VPN、ファイル共有、CMS、社内ポータル)と、ログインをまとめる基盤がどこにあるかを把握しておくことが先決です。何があるか分からなければ、どれを直せばいいかも分かりません。
2つ目は、情報源の購読です。JVNとJPCERT/CCの注意喚起を購読し、自社製品に関係するものが流れてきたら拾える仕組みを作っておきます。あわせて、すでに攻撃へ使われているものはCISAのKEVで確認すると、優先度が付けやすくなります。
3つ目は、保守が終わった製品の洗い出しです。サポートが切れた機器やソフトは、新しい脆弱性が出ても修正版が出ません。今期の案件でも、放置されやすい製品が狙われる傾向が見えました。使い続けるなら、ネットワークから隔離するなどの追加対策が要ります。
4つ目は、優先度の付け方です。すべてを同時には直せません。「インターネットから直接届くか」「認証なしで悪用できるか」「すでに攻撃されているか(KEV該当か)」の3点が揃うものから手を付けるのが基本です。今期で言えば、F5 BIG-IP、Drupal、SharePoint/Cisco FMCのようにKEVに載った案件が最優先になります。
日々の確認を仕組み化するための補助ツールも用意しています。社内で使っているOSS(オープンソースソフトウェア)の依存関係を貼るだけで脆弱性を確認できるスキャナーです。
よくある質問
JVNとは何ですか
JVN(Japan Vulnerability Notes)は、IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)が共同で運営している、日本語の脆弱性情報ポータルです。国内ベンダーが届け出た脆弱性や、海外で公開された脆弱性のうち日本に関係するものが、日本語の解説付きで掲載されます。jvn.jp と、より網羅的な JVN iPedia(jvndb.jvn.jp)の2つがあります。
2026年上半期で特に優先して対応すべき脆弱性はどれですか
すでに攻撃へ使われていることが確認されている案件が最優先です。具体的には、F5 BIG-IP(CVE-2025-53521)、Drupal(CVE-2026-9082)、Microsoft SharePoint と Cisco FMC が、米CISAの実際に攻撃へ使われている脆弱性のリスト(KEV)に該当します。インターネットに面した機器ほど早く手を付けてください。
国産製品と海外製品で、どちらのリスクが高いですか
製品の出身国でリスクは決まりません。2026年上半期は、富士通やNECなどの国産大手から、Microsoft・Oracle・F5・Ciscoなどの海外製品まで、ジャンルを問わず重大な脆弱性が公開されました。重要なのは「インターネットに面しているか」「認証なしで悪用できるか」「基幹に近いか」で、これらに当てはまる製品から優先的に確認するのが現実的です。
JVNとCISAのKEVは何が違いますか
JVNは「危ない欠陥が見つかった」という発見ベースの日本語情報で、自社製品に関係する脆弱性を把握する起点になります。一方、米国政府機関CISAのKEVは「すでに攻撃に悪用されている」という実害ベースのリストで、米政府機関には修正期限が課されます。両方を突き合わせると、危険かつ実際に攻撃されている最優先の案件が見えてきます。
更新履歴
- 2026年6月1日: 初版公開。2026年上半期(1〜6月)の重要案件を収録
本ページは2026年上半期のまとめハブです。新たな重大案件が判明した場合や、各案件の対処状況に動きがあった場合は随時更新します。