Apex Oneに重大脆弱性、管理画面が乗っ取られ全社PCに侵入の恐れ
トレンドマイクロが企業向けウイルス対策ソフトApex Oneで計14件の脆弱性を公開しました。うち2件は最高クラスの深刻度で、ログイン不要で管理画面を乗っ取り、社内の全PCにマルウェア配信される恐れがあります。過去にはゼロデイ攻撃の実例もあり、即時アップデートが推奨されます。
ニュース
kkm
Backend Engineer / AWS / Django
トレンドマイクロが企業向けウイルス対策ソフトApex Oneで計14件の脆弱性を公開しました。うち2件は最高クラスの深刻度で、ログイン不要で管理画面を乗っ取り、社内の全PCにマルウェア配信される恐れがあります。過去にはゼロデイ攻撃の実例もあり、即時アップデートが推奨されます。
トレンドマイクロが企業向けウイルス対策ソフト「Apex One」で複数の重大な脆弱性を公開しました。2026年2月から5月にかけて段階的に開示されたCVEは計14件。うち2件は最も深刻度の高い「CVSS 9.8」で、攻撃者がログインなしで管理画面を乗っ取り、社内の全PCにマルウェアを送り込める可能性があります。
Apex Oneはトレンドマイクロが国内法人向けウイルス対策ソフトでトップシェアを持つ主力製品で、旧称「ウイルスバスター コーポレートエディション」の後継にあたります。富士通、NEC、大塚商会など大手SIerが軒並み取り扱う、いわば「日本企業の標準装備」のような製品で、影響範囲は極めて広い見込みです。
本日2026年5月21日には、米国の脆弱性データベース「NVD」に新たな7件のCVEが登録され、過去に開示されていた7件と合わせて全容が見えてきた形です。さらに気がかりなのは、Apex Oneは過去にもゼロデイ攻撃(修正パッチ公開前の悪用)を受けており、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)の「実際に攻撃されている脆弱性リスト(KEV)」には既に10件のApex関連脆弱性が掲載されているという点です。
Apex Oneとはどんなソフトか
Apex Oneは、企業が社内のPCやサーバーをウイルスやサイバー攻撃から守るために導入する「エンドポイントセキュリティ」と呼ばれる製品です。ひとことで言えば、社員一人ひとりのPCに常駐し、不審なファイルや通信を検知してブロックするソフトです。
個人向けの「ウイルスバスター」と違うのは、管理者が一括で全社のPCを管理できる「管理コンソール」が用意されている点です。情報システム部門の担当者はこの管理画面から、社内何百台・何千台のPCにいるエージェントへ一斉に指示を出します。ウイルス定義ファイルの配布、スキャン実行、隔離対象の追加など、すべてここから操作します。
Apex Oneには、社内のサーバーで運用する「オンプレ版」と、クラウド型の「SaaS版(Trend Vision One)」の2種類があります。今回の最重大脆弱性が直撃するのは前者、つまり企業が自社サーバーで管理コンソールを動かしているケースです。
Apex Oneは富士通、NEC、大塚商会、SB C&S、ちばぎんコンピューターサービス、ネットワールドなど、日本の主要SIerやリセラーが取り扱っており、官公庁・金融機関・製造業の情報システム部門で広く採用されている製品です。
最も深刻な2件:ログインなしで管理画面を乗っ取り
今回公開された14件のうち、最も深刻なのがCVE-2025-71210とCVE-2025-71211です。両方とも「CVSS 9.8」という、満点(10点)に限りなく近い最高クラスの危険度に分類されています。
中身は「ディレクトリトラバーサル」と呼ばれる種類の欠陥で、攻撃者がファイルパスの指定を細工することで本来書き込み禁止のはずの場所にファイルをアップロードできてしまう、というものです。Apex Oneの管理コンソールはこのチェックが甘く、ログイン認証を経ずに任意のコードを実行できる状態でした。
この脆弱性が悪用されると、攻撃者は管理者と同じ権限を手に入れます。具体的に何が起きるかというと、たとえば以下のようなシナリオが現実的になります。
想定される攻撃シナリオ
- ▸管理コンソールを経由して、社内の全PC・全サーバーに一斉にマルウェアを配布する
- ▸本来はウイルスとして検知されるはずのファイルを「除外リスト」に登録し、検知を無効化する
- ▸管理コンソールが動いているWindowsサーバー自体を完全に支配し、社内ネットワークの足がかりとして使う
- ▸ランサムウェアを全エンドポイントに配信し、社内業務を一気に停止させる
セキュリティソフトそのものを乗っ取られる、というのが厄介な点です。社員のPCに入っているApex Oneは「自社の管理コンソールからの指示」を信頼して動いているため、その管理コンソールが攻撃者の手に落ちると、もはやセキュリティ対策ではなく攻撃の踏み台と化します。
なお、トレンドマイクロは攻撃成立の条件として「管理コンソールにアクセス可能であること」を挙げています。社内LANに閉じている場合は外部から直接到達できませんが、テレワーク対応で管理コンソールをインターネット側に露出している場合、リスクは跳ね上がります。
残り12件:エージェント側の権限奪取
残りの12件は、社員のPC側で動いている「エージェント(常駐プログラム)」に関する脆弱性で、CVSSは7.8(深刻度「高」)です。こちらは攻撃者が事前に何らかの手段でそのPC上で低い権限のコードを実行できる状態にある、というのが前提条件になります。
その上で、これらの脆弱性を組み合わせると、一般ユーザー権限からSYSTEM権限(Windowsの最上位権限)への昇格が可能になります。SYSTEM権限を取られると、そのPCで何でもできる状態になります。フィッシングメール等で侵入した攻撃者が、社員PCを完全に掌握するための「次の一手」として悪用される典型的なパターンです。
| CVE番号 | CVSS | 対象 | 攻撃の種類 |
|---|---|---|---|
| CVE-2025-71210 | 9.8 | 管理コンソール | ログインなしでコード実行 |
| CVE-2025-71211 | 9.8 | 管理コンソール | ログインなしでコード実行 (71210と別実行ファイル) |
| CVE-2025-71212 | 7.8 | スキャンエンジン | 権限昇格(リンク追跡) |
| CVE-2025-71213 | 7.8 | エージェント | 権限昇格(オリジン検証) |
| CVE-2026-34927 | 7.8 | エージェント | 権限昇格(オリジン検証) |
| CVE-2026-34928 | 7.8 | エージェント | 権限昇格(名前付きパイプ) |
| CVE-2026-34929 | 7.8 | エージェント | 権限昇格(IPC) |
| CVE-2026-34930 | 7.8 | エージェント | 権限昇格(プロセス保護) |
| CVE-2026-45206 | 7.8 | エージェント | 権限昇格 |
| CVE-2026-45207 | 7.8 | エージェント | 権限昇格 |
| CVE-2026-45208 | 7.8 | エージェント | 権限昇格(TOCTOU競合) |
エージェント側の脆弱性が9件まとめて開示されたのは異例の数で、本日NVDに公開された分(CVE-2026-34927以降)はトレンドマイクロのアドバイザリKA-0023430に対応しています。
過去のゼロデイ攻撃という重い前例
今回の14件について、トレンドマイクロは「現時点で攻撃に悪用された形跡は確認していない」としています。しかし、Apex Oneにとって「悪用なし」で済むかどうかは、過去の経緯を踏まえると楽観できません。
2025年8月、Apex Oneの管理コンソールに別のコマンドインジェクション脆弱性「CVE-2025-54948」が発覚した際、トレンドマイクロは「パッチ公開前に既に攻撃が観測されている」と公表しました。いわゆるゼロデイ攻撃です。
この件はCISAが2025年8月18日に「実際に攻撃されている脆弱性カタログ(KEV)」に追加し、米国の連邦機関には9月8日までの対応を義務付けました。報告者は今回と同じく台湾のCoreCloud Techの研究者Jacky Hsieh氏で、台湾を標的にする中国系国家ハッカーの関与が疑われています。
現時点でCISA KEVには、Apex関連脆弱性が累計10件登録されています。エンドポイントセキュリティ製品の管理コンソールは、攻撃者にとって極めて魅力的な攻撃対象です。一度乗っ取れば、本来防御の役割を担うソフトを通じて、社内のあらゆるPCに正規の経路で命令を送り込めるからです。
「過去にゼロデイで叩かれた管理コンソールの、別系統のRCE脆弱性が2件出てきた」――これが今回の本質です。攻撃者が同じ管理コンソールを再び狙う動機は十分にあると見るべきでしょう。
時系列で見る今回のApex One脆弱性
← スワイプで移動
影響を受ける製品と修正版
脆弱性の影響を受ける製品とパッチ状況は以下の通りです。
| 対象 | 影響 | 対応状況 |
|---|---|---|
| オンプレ版 (Windows) | 最重大2件+追加多数 の影響あり | Critical Patch Build 14136 へのアップデートが必要 |
| SaaS版 (Trend Vision One) | 同等の影響 | バックエンド側で対応済み ユーザー作業不要 |
| macOS版 | エージェント側 権限昇格に影響 | ActiveUpdate経由で 順次配信 |
急ぐべきはオンプレ版です。Critical Patch Build 14136の適用が必須で、SaaS版を使っている企業は基本的に追加の作業はありません。ただし、SaaS版でもエージェント側の最新化(ActiveUpdate経由)はチェックしておくべきです。
情シス担当者向け:いますぐ確認すべきこと
- 1.Apex Oneのオンプレ版を使っているか確認。SaaS版(Trend Vision One)に切り替え済みなら作業不要
- 2.オンプレ版なら、現在のビルド番号が14136以上か確認
- 3.14136未満なら、最優先で適用する
- 4.管理コンソールのIPアドレスが社外からアクセス可能になっていないか確認。VPN経由のアクセスに限定する
- 5.管理コンソールのログイン履歴とファイルアップロード履歴をレビューし、不審なアクセスがなかったかチェック
発見者は前回と同じ研究者
今回のCVE-2025-71210/71211を報告したのは、台湾のセキュリティ企業CoreCloud TechのJacky Hsieh氏とCharles Yang氏です。Zero Day Initiative(ZDI)と呼ばれる脆弱性報奨金プログラムを経由した責任ある開示でした。
SecurityAffairsの報道によれば、Hsieh氏は2025年8月にゼロデイ攻撃で悪用されたCVE-2025-54948も報告しています。同じ研究者が、同じ管理コンソールの別の弱点を半年で複数発見し続けている、というのが現状です。
セキュリティ製品の管理コンソールがこれだけ繰り返し新しい欠陥を出すというのは、製品アーキテクチャ全体の見直しが必要なフェーズに入っているとも読めます。トレンドマイクロ自身も「Apex製品に対する攻撃は珍しくない」と認めており、リモートアクセスポリシーや境界防御の見直しを推奨しています。
なぜ「セキュリティソフトの脆弱性」が一番厄介なのか
エンドポイントセキュリティ製品の脆弱性は、一般的なソフトの脆弱性よりも厄介です。理由は3つあります。
ひとつ目は権限の高さです。ウイルス対策ソフトは、PCの内部を隅々まで見て怪しいファイルを隔離する役割を担っているため、Windowsの最上位権限であるSYSTEMで動作します。乗っ取られた瞬間、攻撃者はそのPCで何でもできる状態になります。
ふたつ目は正規の経路です。エージェントは管理コンソールから定期的に指示を受け取り、それに従って動きます。この通信は社内ファイアウォールに穴を開けるか、ファイアウォールの内側に管理サーバーを置く形で許可されています。管理コンソールを乗っ取れば、その「正規の経路」で全PCに任意の命令を送れます。
3つ目は「守るための仕組み」を「攻撃の仕組み」に転用できる点です。具体例として、検知除外リストにマルウェアのファイル名を登録すれば、そのマルウェアは検知されなくなります。スキャン対象から特定のディレクトリを外せば、そこに置かれた攻撃ツールは見えなくなります。本来は管理者が業務上必要で使う機能を、攻撃者が同じ手順で悪用するという構図です。
セキュリティ業界では「セキュリティ製品の脆弱性は通常の脆弱性の10倍の意味を持つ」とよく言われます。これは大げさな表現ではなく、被害の広がり方が現実的にそれだけ違うからです。
国内企業がやるべきこと
Apex Oneは国内法人向けウイルス対策ソフトとしてトップシェアを持つため、ほぼすべての中堅・大企業の情報システム部門にとって他人事ではありません。具体的なアクションをまとめます。
まず、自社の構成を即時棚卸しすることです。Apex Oneがオンプレで動いているのか、SaaS版(Trend Vision One)に移行済みなのか。オンプレならCritical Patch Build 14136への更新が最優先タスクになります。導入時のパートナーSIerが富士通、NEC、大塚商会などであれば、それぞれ案内が出ている可能性が高いので、サポート窓口に確認するのが手っ取り早いでしょう。
次に、管理コンソールのインターネット露出を再点検することです。テレワーク対応や支社からの管理アクセスのために、管理コンソールのIPアドレスをグローバルから到達可能な状態にしている場合、リスクは段違いに高くなります。トレンドマイクロも公式にIP制限の実装を推奨しています。VPN経由のみに限定する、リバースプロキシで認証を挟む、特定IPからのみ許可するなどの対策が必要です。
そして、過去のApex Oneの管理コンソール周りで不審なログがなかったかを遡って確認することです。今回の脆弱性は今のところ「悪用未確認」とされていますが、2025年8月のゼロデイの件もあり、検知できていなかった侵入が含まれている可能性は否定できません。管理コンソールのアクセスログ、ファイルアップロード履歴、エージェント設定の変更履歴をレビューしておくと、万一の際の対応が早くなります。
JPCERT/CCやIPAから注意喚起が出る可能性も高いので、JPCERT/CCとIPAの発信もあわせて確認しておくのが推奨されます。
締めにかえて
セキュリティソフトに脆弱性が出る、というニュースは数年に一度ではなく、定常的な現象になっています。問題は「出るかどうか」ではなく「出たときに気づいて直せるか」です。
今回のApex Oneの件は、CVSS 9.8の管理コンソール脆弱性が2件、エージェント側の権限昇格が12件、合計14件という大規模な開示でした。過去にゼロデイ実攻撃の前例がある製品でもあり、悪用が確認されていない今のうちに修正版を当てることが、最も損失の少ない選択肢です。
情報システム部門の担当者は、今夜の作業計画に「Apex Oneのビルド番号確認」を一行追加してください。SaaS版に移行済みなら胸を撫で下ろし、オンプレ版なら週末の作業候補に上げる――そのレベルで対応すべきニュースです。
参照元
- ▸ NVD - CVE-2025-71210(Apex One管理コンソール ディレクトリトラバーサルRCE)
- ▸ NVD - CVE-2025-71211(Apex One管理コンソール ディレクトリトラバーサルRCE)
- ▸ Trend Micro - Security Bulletin: Apex One and Apex One (Mac) - February 2026 (KA-0022458)
- ▸ Trend Micro - Apex One/SEP agent Security Bulletin (KA-0023430)
- ▸ Trend Micro - Apex One Service Pack 1 Critical Patch Build 14136
- ▸ BleepingComputer - Trend Micro warns of critical Apex One code execution flaws
- ▸ SecurityWeek - Trend Micro Patches Critical Apex One Vulnerabilities
- ▸ SecurityAffairs - Trend Micro fixes two critical flaws in Apex One
- ▸ Tenable - CVE-2025-54987, CVE-2025-54948: Trend Micro Apex One Command Injection Zero-Days Exploited In The Wild
- ▸ SecurityAffairs - CISA adds Trend Micro Apex One flaw to its Known Exploited Vulnerabilities catalog
- ▸ トレンドマイクロ - TrendAI Apex Oneエンドポイントセキュリティ
- ▸ CISA - Known Exploited Vulnerabilities Catalog