2026-05-22

セキュリティ製品と開発環境の同時多発脆弱性：DefenderゼロデイからChromium未修正RCEまで

Microsoft Defenderのゼロデイ脆弱性、Chromiumの未修正RCE、GitHub内部リポジトリ侵害、Drupal認証回避RCE、Cisco Secure Workloadの認証バイパスなど、セキュリティ製品と開発基盤を標的とした重大な脆弱性が一斉に公開された。

ゼロデイ脆弱性サプライチェーン攻撃認証回避RCEセキュリティ製品

今日のハイライト

本日は防御側のインフラ自体を標的とした攻撃が多発した。Microsoft DefenderやCisco Secure Workloadといったセキュリティ製品の認証回避・権限昇格、GitHubの開発環境を狙ったサプライチェーン攻撃、さらにはGoogleが誤って詳細を公開したChromiumの未修正脆弱性まで、通常の防御レイヤを迂回または無力化するような深刻な事案が集中している。

1. Microsoft Defenderの2つのゼロデイ脆弱性（SYSTEM権限昇格）

概要

MicrosoftはMicrosoft Defenderに存在する2つのゼロデイ脆弱性（CVE-2026-41091およびCVE-2026-41092）を公開した。両脆弱性とも既に積極的に悪用されており、攻撃者はSYSTEM権限への昇格やサービス拒否（DoS）攻撃を実行可能である。

考察

実務対策: Windows環境でMicrosoft Defenderを使用している組織は、即座のパッチ適用が必須である。SYSTEM権限昇格はOSの最高権限を意味し、EDR（Endpoint Detection and Response）としての機能を完全に無力化されるリスクがある。緊急パッチがリリースされるまで、Defenderのリアルタイム保護機能を一時的に無効化する判断も検討に値するが、これは他の脅威に対する無防備化を意味するため、リスク評価が必要である。
技術的背景: セキュリティ製品（AV/EDR）自体の脆弱性は「防御者の矛先が内向きになる」パラドックスを生む。DefenderはWindowsのコアコンポーネントとして深い統合を持つため、脆弱性の影響範囲が広大である。攻撃者にとってEDRを無力化できれば、後続のマルウェア展開が検知されずに済むため、高い標的価値を持つ。
業界トレンド: 近年、セキュリティエージェントや監視ツール自体の脆弱性が攻撃者に注目されている。CrowdStrikeやSentinelOne等のサードパーティEDRも過去に脆弱性を抱えていたが、今回はOS標準のDefenderが標的となった点で影響範囲が極めて大きい。

参照元

Microsoft Warns of Two Actively Exploited Defender Vulnerabilities

2. GitHub内部リポジトリ侵害：VS Code拡張機能を悪用したサプライチェーン攻撃

概要

GitHubは、悪意あるNx Console VS Code拡張機能を介したサプライチェーン攻撃を確認した。攻撃者は従業員のデバイスを侵害し、3,800の内部リポジトリにアクセスを取得した。開発者ツールを悪用した高度な攻撃手法である。

考察

実務対策: 開発者ワークステーションは企業の「クラウンジュエル」に等しいアクセス権を持つことが多い。VS Code拡張機能のインストールは、厳格な許可リスト（ホワイトリスト）方式で管理すべきである。また、開発者マシンでのリポジトリアクセスは最小権限の原則に基づき、必要なコードのみに制限する。また、拡張機能のコード署名検証や、開発環境のネットワークセグメンテーションを検討する。
技術的背景: サプライチェーン攻撃は、直接の標的よりも「信頼できるパートナー」や「開発ツール」を標的とすることで防御を迂回する。Nx Consoleは人気のある開発ツールであり、正規版と見分けがつかない悪意ある改変版が配布された可能性が高い。GitHubのようなセキュリティ成熟度の高い組織でさえ、開発者ワークステーションというエンドポイントで侵害された点が示唆的である。
業界トレンド: DevSecOpsの普及により、CI/CDパイプラインのセキュリティは強化されてきたが、開発者のローカル環境（IDEやエディタ）のセキュリティは依然として盲点となっている。今後、IDEプラグインや拡張機能のセキュリティスキャンが標準化される流れが加速するだろう。

参照元

GitHub Internal Repositories Breached via Malicious Nx Console VS Code Extension

3. Drupal Coreの重大な脆弱性：PostgreSQL環境での認証不要RCE

概要

Drupal Coreに高度に重大な脆弱性（CVE-2026-9082）が発見された。PostgreSQLを使用するサイトで、認証を必要とせずにリモートコード実行（RCE）、権限昇格、情報漏洩が可能となる。

考察

実務対策: PostgreSQLをバックエンドデータベースとして使用しているDrupalサイトは、即座にパッチを適用するか、WAF（Web Application Firewall）での仮想パッチ適用を検討すべきである。認証不要のRCEは、インターネットに公開されているサイトで最も深刻なリスクカテゴリに属する。サイトの保守管理画面へのアクセス制限（IP制限など）も一時的な緩和策となる。
技術的背景: Drupalは広く使用されるCMSであり、過去にも重大な脆弱性が複数存在した。今回の脆弱性はPostgreSQL固有の問題と思われるが、SQLインジェクションやデータベースレイヤでの権限管理の不備がRCEに繋がった可能性がある。RCEを取得された場合、Webサーバーの権限で任意のコード実行が可能となり、データベースの完全な抽出や、さらなる横展開（lateral movement）の起点となる。
業界トレンド: CMSの脆弱性は、マグニチュード（影響範囲の広さ）と攻撃の容易性から、攻撃者にとって永遠の人気標的である。特に、国家支援APTやランサムウェアギャングが、初期アクセスの手段としてCMSの脆弱性を積極的に悪用している傾向が続いている。

参照元

Highly Critical Drupal Core Flaw Exposes PostgreSQL Sites to RCE Attacks

4. Chromiumの未修正脆弱性誤公開：ブラウザ閉じても継続するRCE

概要

Googleが誤って、未修正のChromium脆弱性の詳細を公開してしまった。Service Workerを悪用し、ブラウザを閉じた後もJavaScriptコードがバックグラウンドで継続実行され、リモートコード実行（RCE）が可能となる。Chrome、Edge、Brave、Opera、Vivaldi、Arcなど、Chromiumベースの全ブラウザに影響する。

考察

実務対策: 現時点でパッチは存在しないため、ユーザーはService Workerの動作を監視し、不審なバックグラウンドプロセスを確認する必要がある。Edgeの場合、ダウンロードポップアップすら表示されない完全なサイレント実行が可能なため、特に注意が必要である。企業環境では、Chromiumベースブラウザの使用を一時的に制限し、Firefox等への切り替えを検討する価値がある。ブラウザを閉じてもプロセスが残っていないか、タスクマネージャーでの監視も有効である。
技術的背景: Service Workerはオフライン対応やプッシュ通知のために導入された技術だが、永続的なバックグラウンド実行能力が悪用された。攻撃者は、訪問者のブラウザを「ボットネット」の一部として永続的に利用でき、DDoS攻撃や悪意あるトラフィックのプロキシとして悪用可能である。Googleが誤って詳細を公開したことで、攻撃者がエクスプロイトを開発する時間的猶予が与えられてしまった。
業界トレンド: ブラウザは現代のOSに最も近い存在となっており、その脆弱性はエンドポイントの完全なコンプロミスを意味する。特に、ブラウザを閉じた後も動作する永続的な脆弱性は、従来の「ブラウザを閉じれば安全」という常識を覆す。Chromiumの巨大な市場占有率（70%以上）を考えると、影響範囲は数億台規模と推定される。

参照元

Google accidentally exposed details of unfixed Chromium flaw

5. Cisco Secure Workloadの最大深刻度脆弱性：Site Admin権限取得

概要

CiscoはSecure Workload（旧Tetration）の最大深刻度脆弱性（CVE-2026-20223）に対するパッチをリリースした。内部REST APIの不備により、認証を回避してSite Admin権限を取得可能である。ゼロトラスト/マイクロセグメンテーション製品における深刻な認証バイパスである。

考察

実務対策: オンプレミスでCisco Secure Workloadを使用している組織は、バージョン3.10.8.3または4.0.3.17へのアップデートを即座に実施すべきである。クラウド版（SaaS）は既に修正済みだが、オンプレミス版の管理責任はユーザー側にある。回避策（workaround）が存在しないため、パッチ適用以外の選択肢はない。Site Admin権限を取得されると、テナント境界を越えた設定変更や機密情報の閲覧が可能となる。
技術的背景: ゼロトラストアーキテクチャを実現するはずの製品が、認証回避によって完全に無力化されるという皮肉な状況である。REST APIの認証・検証不備は、現代のアプリケーションで頻発する脆弱性パターンだが、セキュリティ製品においては致命的である。先月（5月14日）にもCisco Catalyst SD-WANで認証バイパスのゼロデイ（CVE-2026-20182）がCISAのKEVカタログに追加されており、Cisco製品のセキュリティ体制に対する懸念が高まっている。
業界トレンド: ネットワークセグメンテーションやゼロトラストは「決して信頼せず、常に検証せよ」が原則だが、管理ツール自体の脆弱性によってその基盤が崩壊するリスクが浮き彫りになっている。Ciscoは過去5年間でCISAから91件の脆弱性が悪用済みとしてフラグされており、そのうち6件はランサムウェアギャングに利用された。エンタープライズネットワーク機器のセキュリティ管理の重要性が再認識されるべきである。

参照元

Max severity Cisco Secure Workload flaw gives Site Admin privileges

まとめ

本日のニュースは、防御側のインフラストラクチャ自体の脆弱性という、セキュリティ担当者にとって最も恐るべきシナリオを複数示している。Microsoft Defender（エンドポイント保護）、Cisco Secure Workload（ネットワークセグメンテーション）、Chromium（Webブラウザ基盤）といった「安全であるはずの基盤」が、逆に攻撃の入り口となりうることが明らかになった。

特に注意すべきは、GitHubのような開発プラットフォームと、DrupalのようなCMSの脆弱性を組み合わせた攻撃チェーンである。開発環境から本番環境へ、CMSから内部システムへと攻撃が横展開されるリスクが高まっている。

今後の注視ポイントとしては、Chromiumの未修正脆弱性に対するGoogleの対応速度、Cisco製品の連続した重大脆弱性に対する企業の対応方針、そしてMicrosoft Defenderのゼロデイに対する追加の攻撃手法の出現が挙げられる。防御側のツールを信頼しすぎず、多層防御とゼロトラストの原則を、セキュリティ製品自体にも適用する意識が求められる。