2026年1Q KEVカタログ掲載CVEの統計と分析

Share
2026年1Q KEVカタログ掲載CVEの統計と分析

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から公開されている「KEVカタログ(Known Exploited Vulnerabilities)」は、実際に攻撃に悪用された脆弱性の権威あるリストとして、組織のセキュリティ対策の優先順位付けに不可欠なツールとなっています。本記事では、KEVカタログに2026年1月1日~3月31日に登録・公開された脆弱性の傾向を整理・分析します。

本記事は2025年1Q:第1四半期~4Q:第4四半期の分析レポートに続く記事となります。過去記事もぜひあわせてご覧ください。
2025年1Q KEVカタログ掲載CVEの統計と分析

はじめに

2025年4Qを対象とした前回記事 では、KEVカタログへ追加された62件のCVEを分析し、「実際に悪用された脆弱性」をどのように運用へ落とし込むべきかを整理しました。本稿はその続編として、2026年1月〜3月にKEVへ追加された71件を主対象に分析します。さらに、4月中旬までに追加された11件については速報として別枠で扱います。

2026年1Qの統計データ概要

2026年1Qに新規登録された脆弱性は以下の通りです。

件数
1月17
2月28
3月26

2026年1QにKEVへ追加された件数は71件でした。前回4Qの62件から増加しています。2〜3月にかけて増加傾向がみられ、2025年4Qでみられた「10月集中型」とは異なる波形を示しています。前回のような単月集中型ではなく、継続的に悪用済み脆弱性が追加された四半期だったと言えます。

主要ベンダー別の内訳

ベンダー件数
Microsoft12
Apple7
Cisco4
Synacor3
SolarWinds3
Google3
SmarterTools3

ベンダー別では、Microsoftが継続して最多となった一方、Apple関連脆弱性が大きく増加した点が今期の特徴です。また、SmarterMailやSolarWinds Web Help Deskなど、管理系・運用系製品の継続的な掲載も目立ちました。これは、攻撃者が単なるユーザー端末だけでなく、「管理面」や「運用基盤」そのものを重点的に狙っていることを示しています。

脆弱性タイプ(CWE)の分布

CWE件数
CWE-94(コードインジェクション)7
CWE-502(不適切なデータ逆シリアル化)5
CWE-78(OSコマンドインジェクション)4
CWE-288(認証回避)4
CWE-918(サーバサイドリクエストフォージェリ(SSRF))4

今期は特に、「認証境界を越えて管理権限を奪う」タイプの脆弱性が増加しています。特にCWE-94やCWE-502は、外部公開された管理系製品と組み合わさることで、一気に侵害の起点になり得ます。

攻撃の自動化容易性(Automatable)

自動化攻撃が容易である「Yes」と分類された脆弱性は30件となっていました。つまり、多くの脆弱性が「自動化された攻撃」に利用されやすい状況にあると言えます。攻撃者側のスキャン・悪用速度が上がっている現在、公開管理面を持つ資産では特に短期間で侵害へ至るリスクがあります。

技術的影響範囲(Technical Impact)

「Total」(=脆弱性を突かれるとシステムを完全制御されてしまう深刻な影響を持つもの) が62件、partialは9件であり、大部分が侵害後に広範な影響を与えるタイプでした。

CVSSスコア分布

区分件数
Critical30
High34
Medium7

CVSS帯では、9.0以上の「Critical(緊急)」帯が30件、7.0~8.9の「High(高)」帯が34件と、高危険度が大半を占めました。

CISAはKEVカタログを、「実際に悪用された脆弱性の権威ある一覧」と位置づけています。つまり、KEVに掲載された時点で、すでに攻撃者による実利用が確認されているということです。そのため、CVSSだけではなく、インターネット露出、ランサムウェア悪用確認、対応期限(dueDate)、自動化容易性(Automatable)などを踏まえた実務的な優先度付けが求められます。

CVSSスコアの基本的な考え方と、企業の脆弱性対応判断にどう活かすべきか、以下の記事で整理しています。ぜひこちらもあわせてご覧ください。
CVSSスコアの正しい使い方 ―脆弱性対応の判断にどう活かすべきか―

実際にランサムウェア攻撃に悪用された脆弱性

実際にランサムウェアに悪用されたと判明しているのは前回3件から今回4件と増加しており、「公開後すぐに武器化される」傾向がさらに強まっています。

前回四半期との比較

指標2025年4Q2026年1Q
KEV追加件数6271
Critical2430
ランサムウェア悪用確認34
2024年以前のCVE継続多数17

単純な件数増だけでなく、「古い脆弱性が今も悪用され続けている」ことが重要です。2024年以前のCVEが17件含まれており、未更新資産やレガシー運用が依然として攻撃対象であり続けている現実が見えてきます。

また、2025年4Qではメモリ破壊や権限管理不備が目立ったのに対し、2026年1Qでは境界突破型の脆弱性が増加しています。これは、攻撃者が単純な破壊活動やDoS攻撃ではなく、「運用基盤そのものを掌握する」方向へ重点を移していることを示唆しています。

注目の個別脆弱性ケーススタディ

Cisco ― CVE-2026-20131

CiscoのCVE-2026-20131は、今期を象徴する脆弱性の一つです。無認証・ネットワーク経由・root権限でのリモートコード実行が可能であり、ランサムウェア悪用も確認されました。さらに、KEV追加から対応期限までが極めて短く、緊急対応が必要なケースでした。*1

この事例が示しているのは、「インターネット公開された管理面は、最優先で閉じるべき」という点です。VPN、ファイアウォール、管理コンソールなどの境界機器は、一度侵害されると内部ネットワーク全体への踏み台になります。

BeyondTrust ― CVE-2026-1731

BeyondTrustのCVE-2026-1731は、特権アクセス管理やRemote Support(遠隔サポート)基盤が侵害された場合の危険性を示した事例です。セルフホストかつインターネット向けな構成では、侵害後に横展開が容易になり、被害範囲が急速に拡大します。*2

特に、管理者権限を扱う製品は「通常業務システムより優先して守るべき対象」です。業務停止だけでなく、認証情報窃取や内部侵入の起点になる可能性が高いためです。

SmarterMail

SmarterMail関連では、複数のCVEが短期間で継続的に追加されました。重要なのは、「一度アップデートしたから安全」という状況ではなかった点です。複数ビルドに対して連続的にcritical fixが提供されており、更新追随そのものが運用課題になっていました。

実際にSmarterTools自身も、未更新VMが侵害起点だったことを認めています。*3これは、「資産を把握していても、更新追随に失敗すると侵害される」という教訓を示しています。

Trivy

Trivyのケースは、開発者やSRE (Site Reliability Engineering)にとって重要です。この事例では、GitHub Actionsタグ改ざんやsetup-trivy置換を通じて、供給網経由の侵害が発生しました*4。つまり、防御ツールそのものが攻撃経路へ変化したということです。

このケースは、「脆弱性管理はOSやミドルウェアだけでは終わらない」ことを示しています。GitHub ActionsのSHA pinning、SBOM管理、シークレットローテーションなど、CI/CD全体の完全性確認が重要になります。

影響評価とリスク優先度付け

KEV対応では、「CVSSが高いから即P1」といった単純な判断は適切ではありません。実務では、実際に自社資産が存在するか、インターネットへ公開されているか、ランサムウェア悪用が確認されているか、対応期限が短いか、といった条件を重ねて優先度を決める必要があります。今回の記事では、実務運用を想定して、以下の4段階で整理します。

優先度条件対応目安
P1(変更管理より封じ込めを優先するレベル)インターネット公開 / ランサムウェア悪用確認 / 対応期限≤3日即日〜72時間
P2(週内対応を前提)自動化攻撃が容易 / 技術的影響範囲(Technical Impact)「Total」1週間以内
P3(計画停止枠)露出限定・代替統制あり対応期限まで
P4(継続監視対象)未利用・廃止済み継続監視

KEV対応では、CVSSスコアだけでなく、実際の悪用状況やインターネット露出、業務影響を踏まえた優先順位付けが重要になります。こうした「何を先に直すべきか」を判断する考え方については、SSVCを用いた脆弱性管理と優先順位付けの解説記事でも詳しく紹介しています。
脆弱性診断は受けたけれど ― SSVCで考える「脆弱性管理」と優先順位付け

まとめ

2026年1QのKEV分析では、「件数増加」そのものよりも、「どの資産が継続的に狙われているか」が明確になりました。特に、境界機器、管理基盤、メール基盤、CI/CDといった“運用の中枢”が攻撃対象になっています。共通しているのは、「攻撃者は管理面を狙う」という点です。

KEVは、もはや単なる高CVSS一覧ではありません。「実際に悪用された脆弱性を、限られた時間でどう優先対応するか」を判断するための、実務上の最重要リストになっています。

【参考情報】


BBSecでは

アタックサーフェス調査サービス

インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。


サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2026年5月20日(水)14:00~15:30【BBSec/Future/ハンモック共催】「脆弱性管理の最適解 ― ASM・IT資産管理・脆弱性管理を分けて考え、統合するという選択
  • 2026年5月27日(水)14:00~15:00「~取引先から求められる前に押さえる~ SCS評価制度への対応準備と現実的な進め方
  • 2026年6月3日(水)14:00~15:00「金融機関の対応事例に学ぶPQC移行の進め方と実務ポイント
  • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    SBOMとは?ソフトウェア部品表の基本と企業が導入すべき理由

    Share
    「SBOMとは?ソフトウェア部品表の基本と企業が導入すべき理由」アイキャッチ画像

    SBOM(Software Bill of Materials)は、ソフトウェアを構成するOSSやライブラリ、依存関係を可視化する「ソフトウェア部品表」です。本記事では、SBOMの基本から注目される背景、OSS脆弱性管理やソフトウェアサプライチェーン対策との関係、企業が導入すべき理由まで分かりやすく解説します。

    はじめに

    ソフトウェアの安全性を考えるうえで、近年急速に重要性が高まっているのがSBOM(Software Bill of Materials)です。日本語では「ソフトウェア部品表」とも呼ばれ、ソフトウェアを構成するライブラリ、モジュール、依存関係、供給元などを整理して把握するための考え方として広がっています。背景にあるのは、企業システムの多くが自社開発のコードだけで成り立っているわけではなく、OSS、外部コンポーネント、パッケージ、クラウドネイティブな部品を組み合わせて構築されている現実です。そのため、どのソフトウェアに何が含まれているのか分からない状態では、脆弱性対応もソフトウェアサプライチェーン対策も後手に回りやすくなります。NIST(米国立標準技術研究所)ではSBOMについて、「ソフトウェアを構築するために使われた各種コンポーネントとサプライチェーン上の関係を記録した正式な記録」と説明しています*5

    SBOMは単なる開発者向けの技術資料ではありません。新しい脆弱性が公開されたときに、自社のどのシステムが影響を受けるのかを素早く把握するための基盤であり、調達先のソフトウェアを評価するための材料でもあり、継続的な脆弱性管理を支える台帳にもなります。NTIA(米国商務省電気通信情報局:National Telecommunications and Information Administration)は、「SBOMの最低要件が脆弱性管理、ソフトウェア在庫管理、ライセンス管理といった基本的なユースケースを可能にする」と整理しています*2。つまりSBOMは、単に「何が入っているか」を眺めるための一覧ではなく、ソフトウェアの透明性を高め、セキュリティ運用を速く正確にするための実務ツールです。

    SBOMとは

    SBOMとは、ソフトウェアを構成する部品の一覧とその部品同士の関係を示す情報のことです。食品に原材料表示があるようにソフトウェアにも、何でできているかを示す考え方が必要だという発想で語られることが多く、NISTもその比喩を用いて説明しています。SBOMに含まれる情報としては、コンポーネント名、供給元、バージョン、識別子、依存関係などが代表的です。

    ここで重要なのは、SBOMがソースコード一覧そのものではない、という点です。SBOMは完成したソフトウェアや提供される製品・サービスの中に、どのような構成要素が含まれているかを把握するためのものです。特にオープンソースソフトウェア(OSSを多用する現代の開発では、直接利用しているライブラリだけでなく、その先の依存関係まで含めて把握することが欠かせません。自社が書いていないコードであっても、最終的に自社サービスの一部として動作している以上、その脆弱性やライセンス、供給元リスクに無関心ではいられません。SBOMは、その見えにくい構成を可視化する手段です。

    なぜ今SBOMが注目されているのか

    SBOMが注目されている最大の理由は、ソフトウェアサプライチェーンの複雑化です。現在の企業システムは、内製コードだけで完結することが少なく、OSSライブラリ、サードパーティ製コンポーネント、外部サービス、コンテナイメージなどの積み重ねで成り立っています。その結果、脆弱性が発見されたときに自社に関係あるのかがすぐに分からないケースが増えています。SBOMがあれば、影響を受けるコンポーネントの有無を確認しやすくなり、初動のスピードを上げやすくなります。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)もSBOMを、「ソフトウェア透明性とサプライチェーンセキュリティを支える重要な要素」として扱っています*3

    また、脆弱性対応の現実もSBOMが注目される理由の一つです。脆弱性情報は日々公開されますが、公開情報だけを見ても、自社のどのシステムにその部品が含まれているか分からなければ、対応判断が遅れます。NTIAはSBOMのユースケースとして脆弱性管理を明示しており、CISAもSBOMの実務活用をサプライチェーン防御の一部として位置付けています*4。つまりSBOMは、脆弱性情報を受け取ったあとに本当に役立つ資産側の台帳として価値を持ちます。

    SBOMで分かること

    SBOMを整備すると、まずソフトウェアに含まれるコンポーネントの全体像が見えるようになります。どのOSSライブラリが使われているか、どのバージョンか、どの供給元に由来するか、どう依存しているかが分かれば、新しい脆弱性が公表されたときの影響調査が大幅にしやすくなります。また、ライセンス確認や調達先評価、保守対象の整理にも役立ちます。NTIAは、SBOMが脆弱性、在庫、ライセンスの管理に資することを明確に示しています。

    さらにSBOMは開発部門だけでなく、運用部門、調達部門、セキュリティ部門にとっても意味があります。開発部門にとっては依存関係の可視化、運用部門にとっては影響調査の迅速化、調達部門にとってはベンダー製品の透明性確認、セキュリティ部門にとっては脆弱性管理の効率化につながります。NISTがSBOMを「サプライチェーン上の関係を含む正式な記録」として位置付けているのは、こうした部門横断の活用が前提にあるからです。

    SBOMとOSS脆弱性管理の関係

    SBOMが特に力を発揮するのは、OSS脆弱性管理の場面です。近年のソフトウェアは、多数のOSSコンポーネントに依存していますが、問題はその依存関係が深くなりやすいことです。開発者が直接追加したライブラリだけでなく、その先にぶら下がる間接依存まで含めると、構成は想像以上に複雑になります。そのためSBOMがない状態では、ある脆弱性が自社に影響するのか、どのアプリケーションに含まれているのか、を迅速に判断しにくくなります。SBOMはその複雑さを整理し、脆弱性対応の起点を作る役割を果たします。

    この点で、SBOMはSCA(Software Composition Analysis)と相性が良い考え方です。SCAはソフトウェアの依存関係を解析し、既知脆弱性やライセンス情報を確認するための仕組みですが、その結果を継続的に管理しやすくするうえでSBOMが有効です。つまりSCAが見つけるための仕組みだとすれば、SBOMは構成を記録し、影響を追いやすくするための仕組みと捉えると分かりやすいです。SBOMそのものが脆弱性を自動で直すわけではありませんが、どこに何が入っているかを把握できるだけでも、対応の速度と精度は大きく変わります。

    SBOMの代表的な形式と標準

    SBOMを実務で扱うには、機械可読な形式が重要です。NTIAの minimum elements でも、自動化を支える仕組みが重要な要件のひとつとして示されています。手書きの一覧表では更新に追いつかず、脆弱性情報との突合も難しいためです。実務で広く知られている代表的な形式としては、OWASP CycloneDX (ECMA-424)やSPDXが挙げられます。少なくともCycloneDXは、サイバーリスク低減のためのフルスタックのBill of Materials (BOM)標準として位置付けられており、現在はECMA-424として標準化されています。

    形式選定で重要なのはどちらが絶対に優れているかではなく、自社の利用目的に合っているかです。開発パイプラインに組み込みやすいか、既存ツールと連携しやすいか、脆弱性管理やライセンス管理に使いやすいか、といった観点で選ぶのが現実的です。標準形式を使うことで、ツール間連携や取引先との情報共有もしやすくなります。

    企業がSBOMを導入すべき理由

    企業がSBOMを導入すべき理由は明快です。第一に、脆弱性対応が速くなるからです。新しいCVEが出たときに、対象部品が自社のどこに入っているかを確認しやすくなれば、影響調査の時間を短縮できます。第二に、ソフトウェアサプライチェーンの透明性が高まるからです。外部から調達したソフトウェアについても、何が含まれているかが分かれば、評価や説明責任を果たしやすくなります。第三に、継続的なソフトウェア資産管理に役立つからです。NTIAもこうしたユースケースをSBOMの基本的価値として整理しています。

    加えて、SBOMはこれからの脆弱性管理の前提になりつつあります。クラウドネイティブ化や DevSecOpsが進むほど、ソフトウェア構成は動的になり、人手だけで追うのは困難になります。NISTもソフトウェアサプライチェーン対策の中でSBOMを含む各種能力の実装を推奨しており、CISAもSBOM消費の実践をサプライチェーン強化の一部として扱っています。SBOMは流行語ではなく、複雑化したソフトウェア環境を管理するための土台になりつつあると考えたほうがよいでしょう。

    SBOM導入時の課題

    もっともSBOMは作れば終わりではありません。実際の課題はどう作るかよりも、どう更新し、どう使うかにあります。ソフトウェアは日々更新されるため、一度作成したSBOMを放置するとすぐに実態とずれます。またSBOMがあっても、脆弱性情報や資産台帳、SCA、CI/CDと連携していなければ、実務で十分に生きません。CISAの近年のガイダンスもSBOMの生成だけでなく消費、つまり実際の運用への組み込みを重視しています。

    そのため導入では、まず重要システムや外部公開サービスなど、影響の大きい範囲から始めるのが現実的です。CI/CDでSBOMを自動生成する仕組みを作り、SCAや脆弱性管理フローと結び付けて、脆弱性情報公開時にすぐ影響確認できるようにする。この流れができて初めて、SBOMは単なる提出資料ではなく、日常運用で役立つ仕組みになります。

    まとめ

    SBOMとは、ソフトウェアを構成する部品とその関係を記録する「ソフトウェア部品表」です。OSS利用の拡大やソフトウェアサプライチェーンの複雑化により、どのシステムに何が含まれているのかを把握する重要性はこれまで以上に高まっています。SBOMを整備することで、脆弱性対応の初動を速め、影響調査を効率化し、ソフトウェアの透明性を高めやすくなります。NTIA、NIST、CISAがいずれもSBOMを重要視しているのは、その実務的な価値が明確だからです。特にSBOMは、SBOMとは何かを理解するだけでは不十分で、脆弱性管理、SCA、CI/CD、調達管理とどう結び付けるかが重要です。企業が導入を考える際は、形式やツール選定だけでなく、更新運用と活用場面まで見据えて設計する必要があります。これからのセキュリティ運用では、SBOMは一部の先進企業だけのものではなく、ソフトウェアを安全に使い続けるための基本装備に近づいています。

    SBOMは脆弱性対応やソフトウェアサプライチェーン対策を効率化するための重要な仕組みです。ただしSBOMを整備するだけでは十分ではなく、継続的な脆弱性管理が重要になります。企業が行うべき脆弱性管理の基本や実践フローについては、以下の記事で詳しく解説しています。
    脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順【2026年版】


    【関連ウェビナーのご案内】
    本記事では、脆弱性スキャンとは何か、脆弱性診断との違い、ツール比較のポイント、導入時の考え方までを整理しました。次回、5月20日(水)14時からの開催のウェビナーでは、AssetViewFutureVulsのメーカーが登壇し、各領域の役割をどのように整理し、どのように連携させれば実効性ある脆弱性管理が実現できるのか、解説します。脆弱性管理の考え方について深くを理解されたい方は、ぜひご参加ください。

    その他のウェビナー開催情報はこちら


    BBSecでは

    BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

    SQAT®脆弱性診断サービス

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    アタックサーフェス調査サービス

    インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    CitrixBleed 3(CVE-2026-3055)の脆弱性:NetScaler ADC / Gatewayの影響・リスク・対策

    Share
    CitrixBleed 3(CVE-2026-3055)の脆弱性:NetScaler ADC / Gatewayの影響・リスク・対策アイキャッチ画像

    CVE-2026-3055が注目される背景(CitrixBleedとの関連)

    2026年3月、Cloud Software Groupは、Citrix NetScaler ADCおよびNetScaler Gatewayに関する複数の脆弱性情報を公表しました*5。その中でも特に注意が必要なのが、CVE-2026-3055です。

    CVE-2026-3055は、NetScaler ADCおよびNetScaler GatewayがSAML IDPとして構成されている場合に影響を受ける、入力検証不備に起因するメモリオーバーリードの脆弱性です。Citrix公式アドバイザリでは、CWE-125、CVSS v4.0のベーススコア9.3Criticalとして評価されています。本脆弱性は、通称「CitrixBleed 3」と呼ばれています。JPCERT/CCは、過去に大きな問題となったCitrix Bleed系の脆弱性、CVE-2023-4966CVE-2025-5777との類似点が海外セキュリティ企業によって指摘されていると説明しています*2

    2025年7月に公表されたCitrix Bleed2(CVE-2025-5777)の脆弱性については以下の記事でご紹介しています。こちらもあわせてご覧ください。
    今すぐ対応を!Citrix Bleed2(CVE-2025-5777)の脆弱性情報まとめ

    企業にとって重要なのは、この脆弱性が単なる製品不具合ではなく、外部公開されている認証基盤やリモートアクセス基盤から情報漏洩につながる可能性がある点です。NetScaler GatewayはVPNやリモートアクセス、SSO連携の前段に置かれることが多く、侵害された場合の影響が社内ネットワーク全体に及ぶおそれがあります。

    CVE-2026-3055の概要

    CVE-2026-3055は、NetScaler ADCおよびNetScaler Gatewayにおけるメモリオーバーリードの脆弱性です。NVD(National Vulnerability Database)では、NetScaler ADCおよびNetScaler GatewayがSAML IDPとして構成されている場合、不十分な入力検証によりメモリオーバーリードが発生すると説明されています*3

    メモリオーバーリードとは、本来読み取るべきではないメモリ領域のデータが読み取られてしまう問題です。JPCERT/CCは、CVE-2026-3055について、遠隔の第三者によって意図しないメモリ領域のデータが読み取られる可能性があると注意喚起しています。この種の脆弱性で問題になるのは、攻撃者が直接ファイルを盗み出さなくても、メモリ上に一時的に残っていた情報が漏洩する可能性があることです。NetScalerのような認証や通信制御に関わる装置では、セッション情報、認証処理に関係する情報、SAML連携に関する情報などがメモリ上で扱われるため、情報漏洩の影響を慎重に評価する必要があります。

    影響を受ける製品とバージョン

    CVE-2026-3055の影響を受けるのは、NetScaler ADCおよびNetScaler Gatewayの一部バージョンです。Citrix公式アドバイザリでは、NetScaler ADCおよびNetScaler Gateway 14.1の14.1-60.58より前、13.1の13.1-62.23より前、NetScaler ADC FIPSおよびNDcPPの13.1-37.262より前が影響を受けるとされています。

    ただし、バージョンだけでなく構成条件も重要です。Citrix公式は、CVE-2026-3055について、Citrix ADCまたはCitrix GatewayがSAML IDP Profileとして構成されていることを前提条件として示しています。確認方法として、NetScalerの設定内に “add authentication samlIdPProfile .*” が存在するかを確認するよう案内しています。つまり、NetScalerを利用しているすべての環境が同じ条件で影響を受けるわけではありません。しかし、SAML IDPはSSOや認証連携に関わる重要な構成で使われるため、該当する場合は優先度を上げて確認すべきです。

    CVE-2026-3055はKEVカタログ登録済みの脆弱性

    CVE-2026-3055は、すでに米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のKEVカタログ(Known Exploited Vulnerabilities Catalog)に追加されています。NVD上でも、CVE-2026-3055がCISA KEVに登録されていること、追加日が2026年3月30日であること、米国連邦政府機関向けの対応期限が2026年4月2日であることが確認できます。KEVカタログへの追加は、少なくともCISAが既知の悪用済脆弱性として扱っていることを意味します。そのため、CVE-2026-3055は「将来的に悪用されるかもしれない脆弱性」ではなく、実際の攻撃リスクを前提として対応すべき脆弱性です。

    JPCERT/CCも、2026年3月31日時点で海外セキュリティ企業から悪用に関する観測情報や詳細な技術情報が公表されていると説明しています。 公開インターネット上にNetScaler ADCやNetScaler Gatewayを設置している企業は、すでに攻撃対象として探索されている可能性を考慮する必要があります。

    CVE-2026-3055が「CitrixBleed 3」と呼ばれる理由

    CVE-2026-3055は、正式名称として「CitrixBleed 3」と命名されているわけではありません。しかし、セキュリティ業界では、過去に大きな影響を与えたCitrix Bleed系の脆弱性との類似性から、このように呼ばれることがあります。過去のCitrix Bleedでは、NetScaler ADCやNetScaler Gatewayにおける情報漏洩が問題となり、認証情報やセッション情報の悪用が懸念されました。今回のCVE-2026-3055も、NetScaler製品におけるメモリ読み取りの問題であり、境界装置から情報が漏えいする可能性があるという点で、過去のCitrix Bleed系の問題を想起させます。JPCERT/CCも、CVE-2023-4966およびCVE-2025-5777との類似点が指摘されているとしています。

    企業のセキュリティ担当者がこの名称に注意すべき理由は、名前そのものではなく、攻撃者が狙いやすい外部公開機器で、認証に関わる情報が漏洩する可能性があるという構図です。これは、ランサムウェア攻撃や標的型攻撃の初期侵入経路として悪用されるリスクを高めます。

    悪用された場合のリスク

    CVE-2026-3055を悪用された場合、最も懸念されるのは、NetScalerのメモリ上に存在する情報が第三者に読み取られることです。JPCERT/CCは、遠隔の第三者によって意図しないメモリ領域のデータが読み取られる可能性があると説明しています。

    NetScalerは、社外から社内システムへアクセスする際の入口として利用されることがあります。SSL VPN、リモートアクセス、SSO、認証連携の前段に配置されることも多く、ここで情報漏えいが発生すると、単一システムの問題にとどまらず、社内ネットワークへの不正アクセスやアカウント悪用につながる可能性があります。

    特に注意すべきなのは、パッチ適用だけでリスクが完全に消えるとは限らない点です。メモリ情報漏えい型の脆弱性では、修正前に何らかの情報が読み取られていた場合、その情報が後から悪用される可能性を否定できません。そのため、アップデートとあわせて、ログ調査、セッションの無効化、認証情報の見直し、関連アカウントの監視を実施することが重要です。

    企業がまず確認すべきポイント

    CVE-2026-3055への対応では、まず自社がNetScaler ADCまたはNetScaler Gatewayを利用しているかを確認する必要があります。特に、VPN、リモートアクセス、SSO、認証連携、社外公開システムの前段にNetScalerが配置されていないかを確認することが重要です。

    次に、対象バージョンに該当するかを確認します。Citrix公式アドバイザリでは、NetScaler ADCおよびNetScaler Gateway 14.1の14.1-60.58より前、13.1の13.1-62.23より前、NetScaler ADC FIPSおよびNDcPPの13.1-37.262より前がCVE-2026-3055の影響を受けるとされています。

    さらに、SAML IDPとして構成されているかを確認します。Citrix公式は、NetScaler Configuration内に”add authentication samlIdPProfile .* ”が存在するかを確認するよう案内しています。 この設定が存在する場合、CVE-2026-3055の影響を受ける条件に該当する可能性があります。

    対応方針:アップデートが最優先

    CVE-2026-3055について、JPCERT/CCは、Cloud Software Groupが本脆弱性に対する回避策を提供していないと説明しています。 そのため、アクセス制限や監視強化だけで対応を完了させるのではなく、修正済みバージョンへのアップグレードを基本方針とすべきです。Citrix公式アドバイザリでも、影響を受ける顧客に対して、関連する更新済みバージョンをできるだけ早くインストールするよう強く推奨しています。 本番環境では検証や切り戻し計画が必要になる場合がありますが、KEVカタログに登録されていることを踏まえると、通常の月次パッチ対応よりも高い優先度で扱うべき脆弱性です。

    侵害有無の確認方法

    CVE-2026-3055では、パッチ適用と同時に侵害有無の確認も重要です。JPCERT/CCは、watchTowr Labsの情報として、CVE-2026-3055を悪用する攻撃の試行は、/saml/login への細工したPOSTリクエストや、/wsfed/passive?wctx へのGETリクエストによって行われると紹介しています。通常運用で想定されない送信元IPから、これらのエンドポイントへのアクセスがログに記録されていないか確認することが推奨されています。また、JPCERT/CCは、DEBUGレベルのログを有効化している場合、/var/log/ns.log に意図しない文字列が挿入される点もwatchTowr Labsが指摘していると説明しています。 侵害が疑われる場合は、ログの保全、関係者への報告、メーカーや専門事業者への相談を検討すべきです。重要なのは、「アップデートしたから終わり」としないことです。すでに攻撃を受けていた場合、攻撃者が取得した可能性のある情報を前提に、セッションの無効化や認証情報の更新、管理者アカウントの確認、異常なログイン履歴の調査を進める必要があります。

    なぜ境界装置は狙われるのか

    近年、VPN装置、ADC、認証ゲートウェイ、ファイル転送装置など、インターネット境界に置かれる機器の脆弱性が繰り返し悪用されています。これらの機器は社内ネットワークへの入口に位置し、多くの場合、認証情報やセッション情報、社内システムへのアクセス経路を扱います。攻撃者にとっては、境界装置の侵害が効率のよい初期侵入手段となります。一般的な端末を一台ずつ狙うよりも、外部公開された認証基盤やリモートアクセス装置を突破する方が、社内環境へ到達しやすい場合があるためです。CVE-2026-3055は、まさにこの文脈で捉える必要があります。NetScaler ADCやNetScaler Gatewayを導入している企業は、単に脆弱なバージョンを更新するだけではなく、外部公開資産の棚卸し、設定確認、ログ監視、脆弱性情報の継続的な収集を組み合わせて対応する必要があります。

    脆弱性管理で求められる実務対応

    CVE-2026-3055のような重大なリスクレベルの脆弱性に対応するには、まず資産を把握していることが前提になります。どの拠点、どのクラウド環境、どのネットワーク境界にNetScalerが存在するのかを把握できていなければ、脆弱性情報が公開されても迅速に判断できません。また脆弱性の深刻度だけでなく、自社環境での露出状況を評価する必要があります。CVE-2026-3055はCVSS v4.0で9.3のCriticalと評価されていますが、実務上は、インターネットから到達可能か、SAML IDPとして構成されているか、認証基盤としてどの範囲に影響するかを確認することが重要です。さらに、KEVカタログへの登録の有無も優先順位付けの重要な判断材料になります。CVE-2026-3055はKEVカタログへ登録済みであり、NVD上でもその情報が確認できます。 既知悪用脆弱性に該当する場合、通常の脆弱性対応よりも優先度を上げ、短期間での対応計画を立てるべきでしょう。

    この脆弱性から学ぶべきポイント

    CVE-2026-3055は、個別の製品脆弱性であると同時に、企業の脆弱性管理体制を見直すきっかけにもなります。特に、VPNや認証ゲートウェイのような外部公開機器は、業務継続に不可欠である一方、攻撃者にとっても魅力的な標的です。今後も、境界装置や認証基盤に関する脆弱性は継続的に公表されると考えられます。そのたびに場当たり的に対応するのではなく、外部公開資産の一覧化、バージョン管理、設定管理、ログ監視、緊急パッチ適用の判断基準をあらかじめ整備しておくことが求められます。特に、情シス部門やセキュリティ担当者が少人数で運用している企業では、脆弱性情報の収集、影響調査、優先順位付け、パッチ適用、侵害調査をすべて自社だけで行うことが難しい場合があります。その場合は、外部診断やセキュリティ監視サービス、インシデント対応支援を組み合わせ、重要な境界装置を継続的に確認できる体制を整えることが現実的です。

    まとめ:CVE-2026-3055への対応ポイント

    CVE-2026-3055は、NetScaler ADCおよびNetScaler GatewayがSAML IDPとして構成されている場合に影響を受ける、メモリオーバーリードの重大脆弱性です。この脆弱性の本質は、NetScalerという外部公開されやすい認証・通信制御基盤から、意図しないメモリ領域のデータが読み取られる可能性がある点にあります。企業は、NetScaler ADC / Gatewayの利用有無、対象バージョン、SAML IDP構成の有無を確認し、該当する場合は修正版へのアップグレードを速やかに進める必要があります。あわせて、/saml/login/wsfed/passive?wctxへの不審なアクセスの有無を確認し、侵害が疑われる場合はログ保全と専門的な調査を行うことが重要です。

    CVE-2026-3055は、単なる一製品の脆弱性ではなく、外部公開資産と認証基盤の管理が企業のセキュリティに直結することを示す事例です。脆弱性管理は、パッチを当てる作業だけではありません。資産を把握し、影響を判断し、優先順位を付け、侵害有無まで確認する一連の運用として整備することが、今後ますます重要になるでしょう。

    【参考情報】


    サイバーインシデント緊急対応

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2026年5月13日(水)13:00~14:00【好評アンコール配信】
    攻撃は本当に成立するのか?ペネトレーションテストで検証する実践的セキュリティ対策(デモ解説)
  • 2026年5月20日(水)14:00~15:30 <BBSec/Future/ハンモック共催>
    脆弱性管理の最適解 ― ASM・IT資産管理・脆弱性管理を分けて考え、統合するという選択
  • 2026年5月27日(水)14:00~15:00
    ~取引先から求められる前に押さえる~ SCS評価制度への対応準備と現実的な進め方
  • 最新情報はこちら

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性スキャンとは?脆弱性診断ツールの選び方と導入ポイント

    Share
    「脆弱性スキャンとは?脆弱性診断ツールの選び方と導入ポイント」アイキャッチ画像

    脆弱性スキャンは、企業のシステムやネットワーク、Webアプリケーション、クラウド環境に存在する既知の脆弱性を効率よく洗い出すための基本的な手段です。近年は、公開サーバーやVPN機器だけでなく、クラウド上のワークロード、コンテナ、OSSライブラリまで管理対象が広がっており、手作業だけで安全性を確認するのは現実的ではありません。そこで重要になるのが、脆弱性スキャナーや脆弱性診断ツールを使って、環境全体を継続的に確認する考え方です。CISAも、インターネット公開資産に対する継続的な 脆弱性スキャンを、基本的な「サイバーハイジーン(Cyber Hygiene)」の一環として位置付けています。

    ただし、脆弱性スキャンを導入すれば自動的に安全になるわけではありません。スキャンはあくまで既知の弱点を機械的に見つける仕組みであり、誤検知や過検知、設定不備の見落とし、業務影響を踏まえた優先順位判断までは自動では完結しません。そのため実務では、脆弱性スキャンの役割を正しく理解したうえで、脆弱性診断や脆弱性管理のプロセスと組み合わせて運用する必要があります。本記事では、脆弱性スキャンとは何か、脆弱性診断との違い、ツール比較のポイント、導入時の考え方までを整理します。

    脆弱性スキャンとは

    脆弱性スキャンとは、サーバー、ネットワーク機器、Webアプリケーション、クラウド環境などに対して自動的に検査を行い、既知の脆弱性や不適切な設定、不足している更新などを検出する仕組みです。企業が脆弱性スキャンを導入する目的は、攻撃者に悪用される前に自社環境の弱点を見つけ、修正につなげることにあります。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のCyber Hygiene Servicesでも、Vulnerability Scanning(脆弱性スキャン)はインターネットから到達可能な資産を継続的に監視し脆弱性の有無を評価するサービス、として説明されています。

    脆弱性スキャンの特徴は、自動化にあります。人手では確認しきれない大量のIPアドレス、Webアプリケーション、仮想マシン、コンテナイメージなどを機械的に点検し、既知の脆弱性情報や設定ミスと突き合わせることで、短時間に広い範囲を確認できます。NIST SP 800-115『Technical Guide to Information Security Testing』でも、自動化されたテスト手法は情報セキュリティ評価の重要な手段とされ、SCAPのような標準化された枠組みが脆弱性管理の自動化を支えるものとして紹介されています。

    一方で、脆弱性スキャンには限界もあります。自動スキャンは既知のパターンには強いものの、業務ロジックに起因する脆弱性や、文脈を踏まえた攻撃シナリオまでは把握しきれない場合があります。また、誤検知や重複検知が発生することもあるため、結果をそのまま鵜呑みにするのではなく、影響の確認と優先順位付けが必要です。つまり脆弱性スキャンは、脆弱性管理の入口として非常に有効ですが、それだけで完結するものではありません。

    脆弱性スキャンを適切に実施するためには、対象となるIT資産を正確に把握することが重要です。サーバーやネットワークだけでなく、クラウド環境やOSSコンポーネントも対象となります。IT資産管理と脆弱性管理の関係については、以下の記事も参考になります。
    脆弱性管理とIT資産管理 -サイバー攻撃から組織を守る取り組み-

    脆弱性診断との違い

    脆弱性スキャン脆弱性診断は混同されやすい言葉ですが、実務上は役割が異なります。脆弱性スキャンは、既知の脆弱性や設定不備を自動的に広く洗い出すことに向いています。これに対して脆弱性診断は、専門家が対象システムの構造や挙動を踏まえながら、ツールだけでは見つけにくい問題も含めて詳細に評価する行為です。OWASPでは、ペネトレーションテストやセキュリティテストがスキャン単独よりも実際の攻撃可能性やリスク評価をより正確に把握する助けになる、と説明しています*4

    たとえば、Webアプリケーションに対する自動スキャンでは、SQLインジェクションやクロスサイトスクリプティングの典型的なパターンは検出しやすい一方で、権限管理の不備や業務フロー上のロジック欠陥、複数機能をまたいだ複雑な脆弱性は取り逃がす可能性があります。OWASPのOWASP Web Security Testing Guideでは、Webセキュリティ評価が単なる自動実行ではなく、アプリケーションの設計や攻撃面を踏まえた体系的なテストであることを示しています。

    そのため企業では、脆弱性スキャンと脆弱性診断を対立概念として捉えるよりも、目的に応じて使い分けることが重要です。日常的な広範囲確認には脆弱性スキャンが向いており、公開Webサービスや重要システムの深い評価には脆弱性診断が向いています。脆弱性スキャンは継続運用の基盤、脆弱性診断は重点箇所の深掘りというように整理すると理解しやすいでしょう。

    脆弱性スキャンの種類

    脆弱性スキャンにはいくつかの種類があり、どこを対象にするかで使うツールや評価軸が変わります。

    Webスキャン

    OWASPでは、Webアプリケーション脆弱性スキャンを、外部からWebアプリケーションを自動検査し、XSS、SQLインジェクション、コマンドインジェクション、パストラバーサル、不適切な設定などの脆弱性を探すツール、として説明しています*2。いわゆるDAST(Dynamic Application Security Testing)に近い領域であり、インターネット公開されるサービスでは特に重要です。企業サイト、会員サイト、管理画面、APIなど、公開面があるならWebスキャンは有力な選択肢になります。

    ネットワークスキャン

    サーバー、ルーター、ファイアウォール、VPN装置などに対して、開いているポート、稼働サービス、既知の脆弱性、更新不足の状況を確認するものです。特にインターネットに公開された機器は攻撃対象になりやすいため、CISAも継続的なスキャンの重要性を強調しています。

    クラウドスキャン

    クラウドでは、OSやミドルウェアの脆弱性だけでなく、ストレージの公開設定、IAM権限、コンテナ設定、イメージの更新状況なども安全性に大きく影響します。従来型のネットワークスキャンだけでは十分でなく、CSPMやCNAPP系の機能を持つツールでクラウド設定やワークロードを可視化する必要があります。共有責任モデルのもとでは、クラウド事業者が管理しない部分は利用企業側が継続的に見なければなりません。

    さらに、OSS脆弱性スキャン、いわゆるSCAも見逃せません。現代のソフトウェアは多くのOSSライブラリに依存しており、アプリケーション本体に問題がなくても、依存パッケージの脆弱性がリスクになります。NTIA(米国商務省電気通信情報局:National Telecommunications and Information Administration)が公開している「The Minimum Elements For a Software Bill of Materials (SBOM) 」では、SBOMをソフトウェアを構成する各種コンポーネントとサプライチェーン上の関係を記録する正式な記録、と定義しており、OSS脆弱性管理の前提として極めて重要です。SCAやSBOM対応ツールを使うことで、どのアプリケーションにどの部品が含まれているかを把握しやすくなります。

    脆弱性スキャナーの比較

    脆弱性スキャナーを比較するとき、まず見るべきなのはCVE対応の範囲です。脆弱性スキャンの基本は、既知の脆弱性データと自社環境を突き合わせることにあるため、どの程度広くCVE情報やベンダー情報に対応しているかは重要です。とはいえ、単に「CVEに対応している」と書かれているだけでは不十分で、更新頻度、対応製品の広さ、クラウドやコンテナへの追従性まで見たほうが実務では役立ちます。CISAが示す脆弱性管理の考え方*3でも、継続的に変化する資産や脅威を前提にした運用が重視されています。

    次に確認したいのがスキャン精度です。脆弱性スキャナーは便利ですが、誤検知が多すぎると運用部門が疲弊し、逆に本当に重要な項目を見逃しやすくなります。逆に、検知が甘ければ見つかるべき脆弱性を取り逃がすことになります。ツールの比較では、単なる検知件数ではなく、結果がどれだけ実務で使いやすいか、重複排除や重要度の絞り込みがしやすいかも見ておく必要があります。OWASPが指摘するようにスキャン結果だけでは実際の攻撃可能性を完全に評価できない*4ため結果の解釈しやすさも重要です。

    さらに、OSSライブラリ検出やSBOM生成の可否は、近年ますます重要になっています。SCAに対応していないツールでは、アプリケーション内部の依存関係まで把握できず、ソフトウェアサプライチェーンリスクへの対応が難しくなります。SBOMを生成・管理できるかどうかは、脆弱性スキャンの範囲をインフラからソフトウェア部品まで広げられるかどうかに直結します。NTIAはSBOMが脆弱性管理、ソフトウェア在庫管理、ライセンス管理などの基本ユースケースに役立つとしています。

    脆弱性スキャン導入のポイント

    脆弱性スキャンを導入する際に考えるべきポイントは以下のとおりです。

    導入目的の明確化

    公開Webサイトの安全性を高めたいのか、社内サーバーの更新漏れを防ぎたいのか、クラウド設定不備を見つけたいのか、OSS脆弱性を把握したいのかで、適したツールは変わります。目的が曖昧なまま「有名だから」という理由だけで導入すると、期待した検知ができなかったり、運用負荷だけが増えたりします。

    導入後の運用体制の整備

    脆弱性スキャンは、導入しただけでは意味がなく、誰が結果を確認し、どこまで精査し、どの基準で是正依頼を出し、修正後にどう再確認するかまで決めておく必要があります。NISTのパッチ・脆弱性管理ガイドでも、技術そのものより、継続運用のプロセス設計が重要であることが示されています。ツール導入はゴールではなく、脆弱性管理のサイクルを回すための手段です。

    資産管理との連携

    スキャン結果を脆弱性対応に直結させるためには、資産管理との連携も欠かせません。どのサーバーがどの業務に使われているのか、どのシステムが外部公開されているのか、どのアプリケーションがどのOSS部品を利用しているのかが分からなければ、検出された脆弱性の優先順位を決められません。特にクラウドやコンテナ環境では、資産の増減が激しいため、台帳やCMDB、クラウド資産可視化と組み合わせた運用が重要です。

    脆弱性診断・ペネトレーションテストとの併用

    脆弱性スキャンは広く速く確認するのに強い一方で、業務ロジックや複雑な攻撃経路までは十分に評価できないことがあります。公開サービスや重要システムでは、重点的な診断を組み合わせるほうが現実的です。OWASPも、ペネトレーションテストがスキャンだけでは見えない実攻撃視点の評価に役立つと説明しています。

    脆弱性スキャンで脆弱性を発見した後は、迅速に対応を行うことが重要です。適切な優先順位付けやパッチ適用を行わなければ、攻撃リスクを低減することはできません。脆弱性対応の具体的な手順については、以下の記事で詳しく解説しています。
    脆弱性対応とは?CVE対応とパッチ管理の実務フロー

    脆弱性管理との関係

    脆弱性スキャンは、脆弱性管理そのものではありませんが、脆弱性管理を支える重要な要素です。脆弱性管理は、資産把握、脆弱性情報収集、評価、是正、再確認を継続的に回す運用全体を指します。その中で脆弱性スキャンは、「発見」と「継続的な監視」を支える手段として機能します。CISAが脆弱性管理を、脆弱性や悪用可能な状態の頻度と影響を減らす取り組みとして整理している*5ことからも、スキャン単独ではなく運用全体の中で捉えるべきことが分かります。

    脆弱性スキャンは、脆弱性管理の一部として実施される重要なプロセスです。しかし、スキャンを実施するだけでは不十分であり、発見した脆弱性を評価・対応まで含めて継続的に管理する必要があります。企業の脆弱性管理全体の流れについては、以下の記事で詳しく解説しています。
    脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順【2026年版】

    実務では、脆弱性スキャンで見つけた結果をそのまま並べるだけでは意味がありません。資産の重要度、公開状態、CVSS、既知悪用の有無、業務影響などを踏まえて優先順位を決め、必要な修正や診断につなげていく必要があります。さらに、OSS脆弱性についてはSCAやSBOMを組み合わせて調査範囲を広げることが重要です。つまり脆弱性スキャンは、脆弱性管理の入口であり、全体運用へつなぐための観測手段だといえます。

    まとめ

    脆弱性スキャンとは、既知の脆弱性や設定不備を自動的に洗い出し、企業の攻撃面を継続的に可視化するための基本手段です。ネットワークスキャン、Webスキャン、クラウド環境スキャン、OSS脆弱性スキャンといった種類があり、企業のシステム構成に応じて適切に選ぶ必要があります。ただし、脆弱性スキャンは万能ではなく、脆弱性診断やペネトレーションテストのような深い評価とは役割が異なります。広く見つけるのがスキャン、深く確かめるのが診断、と整理すると理解しやすいです。

    導入時に重要なのは、ツールの知名度ではなく、自社の目的に合っているかどうかです。CVE対応の広さ、スキャン精度、クラウド対応、OSSライブラリ検出、SBOM生成の可否などを見極めたうえで、導入後に誰がどのように結果を処理するかまで設計しておく必要があります。脆弱性スキャンを単独の製品選定で終わらせず、脆弱性管理の継続運用へつなげることが、企業にとって本当の導入効果につながります。

    【参考情報】


    【関連ウェビナーのご案内】
    本記事では、脆弱性スキャンとは何か、脆弱性診断との違い、ツール比較のポイント、導入時の考え方までを整理しました。次回、5月20日(水)14時からの開催のウェビナーでは、AssetViewFutureVulsのメーカーが登壇し、各領域の役割をどのように整理し、どのように連携させれば実効性ある脆弱性管理が実現できるのか、解説します。脆弱性管理の考え方について深くを理解されたい方は、ぜひご参加ください。

    その他のウェビナー開催情報はこちら


    BBSecでは

    BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

    SQAT®脆弱性診断サービス

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    アタックサーフェス調査サービス

    インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    脆弱性対応とは?CVE対応とパッチ管理の実務フロー

    Share
    「脆弱性対応とは?CVE対応とパッチ管理の実務フロー」アイキャッチ画像

    脆弱性対応は、企業の情報システムを守るうえで避けて通れない業務です。新しい脆弱性は日々公開されており、それらの一部は実際に攻撃へ悪用されています。問題は、脆弱性の存在そのものではなく、自社に影響する脆弱性を見極められず、対応が遅れることです。脆弱性への初動が遅れれば、情報漏洩、業務停止、ランサムウェア感染など、企業活動に直結する被害へ発展しかねません。だからこそ、脆弱性対応は単なるパッチ適用ではなく、情報収集、影響調査、優先順位付け、修正、再確認までを含めた一連の実務として捉える必要があります。

    米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、脆弱性対応を含むvulnerability management(脆弱性管理)の目的を、脆弱性や悪用可能な状態の発生頻度と影響を減らすことだと整理しています。

    企業の脆弱性管理については、以下の記事で詳しく解説しています。
    脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順

    脆弱性対応とは

    脆弱性対応とは、公開された脆弱性情報や自社で発見した弱点に対して、自社システムへの影響を調査し、必要な対策を選び、修正し、修正後の状態を確認する一連の対応を指します。ここで重要なのは、脆弱性対応が「脆弱性があるからすぐパッチを当てる」という単純な作業ではないことです。実務では、対象資産の把握、公開有無、業務影響、代替策の有無、停止可能時間、クラウドやOSSへの影響などを考慮しながら判断します。NISTも、パッチ管理を「パッチ、更新、アップグレードを識別し、優先順位を付け、取得し、適用し、その適用を確認するプロセス」と定義しており、単純な更新作業ではなく管理プロセスそのものとして扱っています。

    脆弱性対応が重要視される理由のひとつは、公開された脆弱性の一部が現実に悪用されているからです。CISAは「KEVカタログ(Known Exploited Vulnerabilities)」で、実際に悪用が確認された脆弱性を定期的に公開しています。つまり企業に求められるのは、脆弱性情報を収集することだけではなく、「どれが今まさに危険なのか」「自社に関係するのか」を見極めて動くことです。脆弱性対応とは、攻撃の入口になりうる弱点を、優先順位をつけて現実的に潰していく運用だといえます。

    CVEとは

    脆弱性対応を進めるうえで、まず押さえておきたいのがCVEです。CVEはCommon Vulnerabilities and Exposuresの略で、公開された脆弱性や露出情報に対して一意の識別子を付ける仕組みです。米MITREはCVE Programの役割を、公開されたサイバーセキュリティ上の脆弱性を識別し、定義し、整理することだと説明しています。

    また、NVD(米国国立脆弱性データベース)でもCVEを特定の製品やコードベースに対して識別された脆弱性の辞書・用語集として扱っています。つまりCVEは、世界中のベンダー、研究者、利用企業が同じ脆弱性を同じ名前で参照するための共通言語です。脆弱性対応を行う際には、まず対象となる脆弱性情報を正確に把握することが重要です。多くの脆弱性は CVE識別番号で管理されています。

    CVEは世界中で共有される脆弱性情報の共通IDであり、企業のセキュリティ対策において重要な役割を果たします。CVEの仕組みや意味については、以下の記事で詳しく解説しています。
    CVEとは?共通脆弱性識別子の基本と管理方法を徹底解説

    実務では、CVE識別番号だけを見て終わりではありません。CVEは「何の脆弱性か」を特定するためのIDであり、深刻度や攻撃条件、自社への影響を判断するには、NVDやベンダーアドバイザリ、製品別のセキュリティ情報をあわせて確認する必要があります。NVDはCVEに対してCVSSなどの標準化データを付与し、脆弱性管理や自動化に使える情報を提供しています。そのため企業の脆弱性対応では、「まずCVEを把握し、次にNVDやベンダー情報で内容を確認し、自社資産と突き合わせる」という流れが基本になります。

    CVSSスコアの見方

    CVEを把握したあとに多くの担当者が見るのがCVSSスコアです。CVSSはCommon Vulnerability Scoring Systemの略で、脆弱性の深刻度を定性的・数値的に表すための標準的な指標です。NVDはCVSSについて、「脆弱性の重大度を示すための方法であり、リスクそのものを示すものではない」と明確に説明しています。つまり、CVSSが高いから必ず最優先、低いから後回しでよい、とは限りません。CVSSを確認するときは、まず「スコアの高さ」よりも「どういう条件で悪用されるか」に注目したほうが有効です。たとえば、ネットワーク経由で認証不要の攻撃が可能なのか、ローカル権限が必要なのか、ユーザ操作を伴うのかによって、現実の危険度は大きく変わります。

    また同じCVSSでも、インターネットに公開された機器にある脆弱性と、閉域環境の限定的なシステムにある脆弱性では、優先度は異なります。NVDはCVSSv4.0をサポートしており*6、従来よりもきめ細かな評価が可能になっていますが、それでも「深刻度」と「自社のリスク」は同一ではありません。 実際の脆弱性対応では、CVSSに加えて、公開状態、資産の重要度、業務影響、既存の緩和策、そして実悪用の有無まで見て判断する必要があります。特に、CISAのKEVカタログに掲載された脆弱性は、すでに悪用が確認されているという意味で、単なる理論上の脆弱性より一段重く扱うべきです。CVSSは脆弱性対応の出発点として有用ですが、最終判断は必ず自社環境に引きつけて行う必要があります。

    脆弱性対応の手順

    脆弱性対応の実務フローは、一般的に以下の流れで進みます。

    1. 脆弱性情報の収集
    2. 影響調査
    3. 優先順位決定
    4. パッチ適用
    5. 再確認

    まずに必要なのは、脆弱性情報を取りこぼさないことです。CVE、NVD、ベンダーのセキュリティアドバイザリ、クラウドベンダーの通知、CISAのKEVなどを継続的に確認し、自社に関係する情報を早めに捉える必要があります。CISAは、KEV Catalogを確認し、掲載された脆弱性の修正を優先することを強く推奨しています。

    次に行うのが影響調査です。ここで重要になるのは、自社がどの資産を保有し、どのソフトウェアやクラウドサービスを利用しているかを把握していることです。脆弱性情報が公開されても、自社に対象製品があるかどうか分からなければ、対応そのものが始まりません。特にクラウド環境では、OSやミドルウェアだけでなく、コンテナイメージ、マネージドサービスの設定、アクセス権限なども確認対象になります。クラウドでは共有責任モデルが採用されており、利用企業が管理すべき範囲は依然として広く残ります。

    三つ目は優先順位決定です。ここではCVSSだけでなく、インターネット公開の有無、認証要否、既知の悪用状況、業務停止時の影響、代替策の有無を踏まえて判断します。たとえば、CVSSが高くても外部到達性がなく緩和策が効いているものより、CVSSがそこまで高くなくても既知悪用されている公開資産の脆弱性のほうが先に対処すべき場合があります。NISTのパッチ管理ガイドでも、識別だけでなく優先順位付けと検証まで含めてプロセスとして扱うことが示されています。

    その後に実施するのが修正です。多くの場合はパッチ適用やバージョン更新になりますが、常にそれだけではありません。ベンダー修正がまだ出ていない場合や、即時適用が難しい場合には、設定変更、アクセス制限、機能停止、ネットワーク分離、WAFやEDRなどによる補完策を検討する必要があります。CISAも、回避策はあくまで暫定手段であり、公式パッチが利用可能になったら移行するのが望ましいと案内しています。

    最後に必要なのが再確認です。パッチを適用したつもりでも、適用漏れ、再起動未実施、対象誤認、別系統サーバーの取り残しなどは珍しくありません。NISTはパッチ管理の定義の中に「検証」を含めています。つまり脆弱性対応は、適用作業で終わりではなく、修正が有効に反映され、サービスへの悪影響がないことまで確かめて完了します。

    クラウド環境では、OSやミドルウェアの更新だけでなく、クラウドサービスの設定やコンテナイメージの更新なども脆弱性対応に含まれます。また、近年はOSSライブラリに含まれる脆弱性が問題となるケースも増えています。SBOMを利用することで、自社システムに影響するOSS脆弱性を迅速に特定できます。NTIA(米国商務省電気通信情報局National Telecommunications and Information Administration)はSBOMを「ソフトウェアを構成する各種コンポーネントとサプライチェーン上の関係を記録する正式な記録」と説明しています。ただし、公開されている脆弱性情報だけでは、自社のシステムにどの脆弱性が存在するのかを完全に把握することはできません。そのため多くの企業では、脆弱性スキャンツールや脆弱性診断を用いてシステムの安全性を確認します。

    脆弱性スキャンの仕組みや診断方法については、以下の記事で詳しく解説しています。
    脆弱性スキャンとは?脆弱性診断ツールの選び方と導入ポイント

    パッチ管理のベストプラクティス

    パッチ管理のベストプラクティスを考えるうえで大切なのは、パッチ適用を場当たり的な更新作業にしないことです。NISTはenterprise patch management(エンタープライズ向けパッチ管理)を、識別、優先順位付け、取得、適用、検証までを含むプロセスとして定義しています。この考え方に沿うなら、ベストプラクティスとは「早く当てること」だけではなく、「誰が、何を、どの順で、どこまで確認して実施するか」を事前に決めておくことになります。

    まず重要なのは、資産台帳とパッチ対象の対応関係を明確にしておくことです。対象サーバー、業務端末、ネットワーク機器、クラウド上のワークロード、仮想マシン、コンテナイメージなどが整理されていなければ、どこにパッチを適用すべきか判断できません。NISTの実装ガイドでも、日常時と緊急時の両方に対応するには、資産把握とパッチ適用の仕組みが必要だと示されています。

    次に欠かせないのが、テストと本番適用の切り分けです。重大な脆弱性だからといって、影響の大きい基幹系に無検証で更新をかけるのは危険です。一方で、テストに時間をかけすぎて攻撃されるのも問題です。したがって実務では、対象の重要度や公開状況に応じて、緊急パッチ、通常パッチ、代替策併用のように運用レベルを分ける設計が現実的です。CISAの資料でも、パッチ管理計画、テスト、バックアップ、ロールバックを含めた準備の重要性が示されています。

    さらに、近年のパッチ管理ではOSSライブラリの更新管理が欠かせません。アプリケーション本体に問題がなくても、依存するライブラリやフレームワークに脆弱性があれば、そのままリスクになります。そこで有効なのがSCAやSBOMです。SBOMによって依存関係を把握しておけば、新たなCVEが出た際にも、どのアプリケーションに影響するかを迅速に調べやすくなります。これは、パッチ管理の対象をOSやミドルウェアだけでなく、ソフトウェア部品レベルまで広げるための実務的な方法です。

    企業の脆弱性対応の失敗例

    企業の脆弱性対応が失敗する典型例は、脆弱性情報を見ているのに、自社への影響確認ができないケースです。CVEを把握しても、対象製品のバージョンや設置場所、外部公開状況が分からなければ、優先順位も対策方針も決められません。結果として、「あとで確認しよう」と先送りされ、実際に攻撃が始まった時点で慌てて対応することになります。CISAがKEVカタログを継続公開しているのは、こうした遅れが実被害につながりやすいからです。

    もうひとつ多いのは、CVSSスコアだけで機械的に対応順を決める失敗です。CVSSは重要な指標ですが、NVDでは「CVSSはリスクではない」と説明しています*2。にもかかわらず、スコアの高さだけで判断すると、公開サーバー上で悪用が進む脆弱性より、閉域環境の理論上危険な脆弱性を優先してしまうことがあります。脆弱性対応では、深刻度、公開状態、悪用実績、業務影響を合わせて考える必要があります。

    さらに、パッチを当てて終わりにしてしまうのも典型的な失敗です。適用漏れ、再起動忘れ、周辺システムの未更新、検証不足による障害発生などは珍しくありません。NISTがパッチ管理に「検証」を含めているのは、こうした現実があるからです。脆弱性対応は、修正したことを確認し、その結果を記録し、次回に再利用できる形で残して初めて組織の知見になります。

    脆弱性管理との違い

    脆弱性対応と脆弱性管理は、似ているようで役割が異なります。脆弱性対応は、個別の脆弱性が見つかったときに、影響を調べ、優先順位を付け、修正する実務です。一方の脆弱性管理は、その対応を継続的に回すための全体運用を指します。CISAが脆弱性管理を「脆弱性や悪用可能な状態の発生頻度と影響を減らすための活動」として示しているように、脆弱性管理は発見、評価、是正、確認を繰り返す仕組み全体です。脆弱性対応は、その中の重要な一工程だと考えると整理しやすくなります。

    つまり、脆弱性対応は個別事案へのアクションであり、脆弱性管理はそれを支える土台です。資産台帳、情報収集ルール、優先順位基準、パッチ管理フロー、検証体制、記録・改善の仕組みが整っていなければ、脆弱性対応は属人的になり、毎回判断がぶれます。逆に、脆弱性管理が機能していれば、新しいCVEが出ても落ち着いて影響確認と対応判断を進めやすくなります。

    IT資産管理と脆弱性管理の関係については、以下の記事で詳しく解説しています。
    脆弱性管理とIT資産管理 -サイバー攻撃から組織を守る取り組み-

    まとめ

    脆弱性対応とは、CVE情報を確認して終わることでも、パッチを当てて終わることでもありません。脆弱性情報を収集し、自社への影響を調べ、CVSSや悪用状況、業務影響を踏まえて優先順位を決め、修正し、最後に再確認するまでが一連の流れです。特に、実悪用が確認された脆弱性を優先する視点、クラウドやOSSを含めて影響を判断する視点、SBOMやSCAを活用して依存関係を見える化する視点は、今の企業実務では欠かせません。

    脆弱性対応を強くするには、単発の対応力ではなく、継続的に判断と是正を回せる仕組みが必要です。CVEを読む力、CVSSを鵜呑みにしない判断力、資産を把握する力、そしてパッチ管理を確実にやりきる運用力がそろって初めて、企業の脆弱性対応は実効性を持ちます。検索流入で「脆弱性対応」「CVE対応」「パッチ管理」を調べている担当者にとって重要なのは、知識だけでなく、明日から自社でどう動くかが見えることです。本記事がその整理の起点になれば幸いです。

    【参考情報】


    【関連ウェビナーのご案内】
    本記事では、脆弱性スキャンとは何か、脆弱性診断との違い、ツール比較のポイント、導入時の考え方までを整理しました。次回、5月20日(水)14時からの開催のウェビナーでは、AssetViewFutureVulsのメーカーが登壇し、各領域の役割をどのように整理し、どのように連携させれば実効性ある脆弱性管理が実現できるのか、解説します。脆弱性管理の考え方について深くを理解されたい方は、ぜひご参加ください。

    その他のウェビナー開催情報はこちら


    BBSecでは

    BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

    SQAT®脆弱性診断サービス

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    アタックサーフェス調査サービス

    インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    情報漏洩対策とは何か ―企業が知るべき原因・リスク・防止策の全体像―

    Share
    情報漏洩対策とは何か ―企業が知るべき原因・リスク・防止策の全体像―アイキャッチ画像

    情報漏洩対策は、単にウイルス対策ソフトを入れたり、アクセス制限を強めたりするだけでは不十分で、「何が漏れるのか」「なぜ起きるのか」「起きたときに何が起きるのか」「どう防ぐのか」を分けて整理することが重要です。なぜならば、実際の情報漏洩は不正アクセスのような外部からの攻撃だけでなく、誤送信や設定不備、委託先での事故など、日常業務の延長線上で発生することが少なくないためです。

    個人情報保護委員会は、漏えい等事案への対応体制の整備や定期的な点検、見直しの必要性を示しており、IPA(独立行政法人情報処理推進機構)でも企業の情報セキュリティ対策を経営課題として継続的に進める必要があるとしています。本記事では、情報漏洩対策の全体像や基本的な考え方について整理します。

    情報漏洩がなぜ起きるのか、実際の原因や事例については以下の記事で詳しく解説しています。
    情報漏洩はなぜ起きるのか ―企業で多い原因と最新事例から見るリスクの実態―

    情報漏洩とは何か

    情報漏洩とは、本来アクセス権限を持たない第三者に、企業が保有する情報が意図せず、あるいは不正に渡ってしまうことを指します。ここでいう情報には、顧客情報や従業員情報のような個人情報だけでなく、営業秘密、契約情報、設計情報、認証情報、メール本文、取引先とのやり取り、さらにはクラウド上で扱う業務データまで含まれます。

    個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン(通則編)」でも、個人データの漏えい等を防ぐために安全かつ適切な管理措置を講じるための内容が示されており、企業にとって情報漏洩は法務、経営、現場運用のすべてに関わる問題です。

    近年、情報漏洩がより起こりやすくなっている背景には、業務のデジタル化が急速に進んだことがあります。クラウドサービスやSaaSの利用拡大により、データは社内サーバだけでなく外部環境にも分散して保存・共有されるようになりました。その結果、設定不備や共有範囲の誤りが事故の起点になる場面が増えています。

    さらに、委託先や外部サービスを含めたサプライチェーン全体で情報を扱うことが当たり前になり、自社だけを守っていればよい時代ではなくなっています。経済産業省でも国内外のサプライチェーンでつながる関係者への目配りの必要性を明記しており、IPA「情報セキュリティ10大脅威2026」でもサプライチェーンや委託先を狙った攻撃が上位に挙げられています。

    情報漏洩が企業に与える影響

    情報漏洩が起きた企業に生じる大きな影響は以下のとおりです。

    信用低下

    まず生じるのは、信用の低下です。漏洩した情報の件数や内容だけでなく、「管理が甘い企業ではないか」「再発防止ができるのか」といった不信感が、顧客や取引先、株主、採用候補者にまで広がります。情報セキュリティ事故は単発のITトラブルではなく、企業の信頼基盤そのものを揺るがす経営リスクとして扱う必要があります。経済産業省およびIPAが公開している「サイバーセキュリティ経営ガイドライン Ver 3.0」でもサイバーリスクを経営者が主導して把握し、組織的に対処すべき課題として位置付けています。

    損害賠償・対応コストの増大

    漏洩の可能性が判明した後には、事実関係の調査、影響範囲の特定、本人通知、関係機関への報告、公表、問い合わせ対応、再発防止策の策定など、多くの業務が短期間に発生します。個人情報保護委員会のガイドラインでも、漏えい等事案の発生時には、調査、本人通知、報告、再発防止策の決定、公表などを行う体制をあらかじめ整備しておくことが求められています。つまり、情報漏洩対策は事故後のためにも必要であり、平時の備えが不十分だと、事故後の負担はさらに重くなります。

    事業停止の可能性

    さらに、情報漏洩は事業停止リスクにも直結します。不正アクセスやランサムウェア攻撃を伴うケースでは、単なる情報流出にとどまらず、システム停止や業務遅延、取引停止が同時に発生することがあります。

    JPCERT/CCが2021年11月に公開した資料「経営リスクと情報セキュリティ  ~ CSIRT:緊急対応体制が必要な理由 ~」の中で、インシデント発生時には対処方針の決定、問題解決、収束、再発防止の分析、教育啓発までを含めた緊急対応体制が必要であると整理しています。情報漏洩は「漏れたら終わり」ではなく、「漏れた瞬間から事業継続の問題になる」という視点が重要です。

    情報漏洩による影響や損失の考え方については、以下の記事で詳しく解説しています。
    サイバー攻撃被害コストの真実―ランサムウェア被害は平均2億円?サイバー攻撃のリスク評価で“事業停止損害”を可視化

    情報漏洩が起きる主な原因

    情報漏洩の原因として最も見落とされやすいのが、人的ミスです。宛先の誤送信、ファイルの添付ミス、書類の紛失、権限設定の誤り、持ち出しルール違反などは、特別な攻撃を受けなくても起こります。個人情報保護委員会の年次報告でも、書類の誤交付や紛失、誤送付といった事案が多く見られるとされています。情報漏洩という言葉から外部攻撃を想像しがちですが、実務では人の確認不足やルール運用の甘さが起点になる事故が依然として多いのが実態です。

    一方で、近年無視できないのが不正アクセスによる情報漏洩です。個人情報保護法サイバーセキュリティ連絡会が公表した資料「不正アクセス発生時のフォレンジック調査の有効活用に向けた着眼点」(令和8年1月16日)でも、不正アクセス被害は近年多発しており、同委員会が受け付ける不正アクセスによる漏えい等報告件数も増加していると明記しています。また、「令和6年度個人情報保護委員会 年次報告」では、SaaS事業者への不正アクセスが多数の利用企業に影響した事案の影響も含まれるものの、不正アクセス由来の報告件数が大きく増えたことが示されています。この点は、企業が自社環境だけでなく、利用中のサービスや委託先のセキュリティ状況も確認しなければならないことを意味します。

    さらに、委託先やサプライチェーン経由の漏洩リスクも大きくなっています。自社では適切に管理していても、外部ベンダー、運用委託先、クラウドサービス事業者、グループ会社のいずれかに弱点があれば、そこが侵入口になります。

    情報漏洩がなぜ起きるのか、実際の原因や事例については以下の記事で詳しく解説しています。
    情報漏洩はなぜ起きるのか ―企業で多い原因と最新事例から見るリスクの実態―

    委託先や外部サービスを経由したリスクについては、サプライチェーン攻撃の記事も参考になります。
    サプライチェーン攻撃とは ―委託先・外注先リスクから情報漏えいを防ぐ全体像―

    企業が取るべき情報漏洩対策

    企業の情報漏洩対策は、技術対策、運用対策、組織・体制整備の三層で考えると整理しやすくなります。

    技術対策

    アクセス制御、認証強化、ログ取得、暗号化、端末管理、バックアップ、脆弱性対応などが含まれます。ただし、技術対策だけでは事故を防ぎきれません。たとえばアクセス制御の仕組みがあっても、権限付与の運用が曖昧であれば過剰権限が残り、ログを取っていても見直されなければ不審な操作に気付けません。

    運用対策

    運用対策として重要なのは、ルールを定めることではなく、現場で守られる状態をつくることです。個人情報保護委員会は、安全管理措置として、組織的、人的、物理的、技術的な観点での対応を示しています。これは裏を返せば、教育や承認手続、持ち出し管理、点検、監査、見直しまで含めて初めて情報漏洩対策になるということです。従業員教育を年一回実施しただけで対策済みとは言えず、権限棚卸しやルールの実効性確認が継続して回っているかが問われます。

    組織・体制整備

    事故が起きたときに誰が判断し、誰が調査し、誰が報告し、誰が公表を担うのかを曖昧にしないことも重要です。個人情報保護委員会のガイドラインは、漏えい等事案の発生時に備えた報告連絡体制や対応体制の整備を求めています。また、JPCERT/CCは、緊急対応、分析、普及啓発、注意喚起、演習を含めた機能の必要性を示しています。情報漏洩対策は、製品導入の話ではなく、事故前提で回る組織づくりの話でもあります。

    具体的な情報漏洩対策や運用のポイントについては、以下の記事で詳しく解説しています。
    企業の情報漏洩対策 ―すぐに実践できる防止策と運用のポイント―

    まず何から始めるべきか

    情報漏洩対策を強化したい企業が最初にやるべきことは、新しいツールを入れることではなく、「現状把握」です。どの情報を、どこで、誰が、何の目的で扱っているのかが見えていなければ、守るべき対象も優先順位も定まりません。

    IPA「中小企業の情報セキュリティ対策ガイドライン」でも、情報資産を洗い出し、台帳化し、重要度に応じて管理することが実践の出発点として示されています。情報漏洩対策は、漠然とした不安に対して製品を足していくのではなく、自社の重要情報と業務フローを見える化するところから始めるべきです。さらにそのうえで、優先順位付けも必要になります。すべてを同じ強さで守るのではなく、情報漏洩時の影響が大きい情報、外部共有が多い情報、委託先を含めて扱われる情報、インターネット経由でアクセスされる情報から順に見直すほうが実務的です。また、「サイバーセキュリティ経営ガイドライン Ver 3.0」でも、リスクの識別と変化に応じた見直しの重要性が示されています。情報漏洩対策は一度整えたら終わりではなく、事業環境や利用サービスの変化に応じて見直し続ける運用そのものが重要です。

    どの対策を優先すべきかについては、脆弱性管理の考え方が重要になります。以下の記事もあわせてぜひご覧ください。
    脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順【2026年版】

    まとめ

    情報漏洩対策とは、個人情報や機密情報が外部に漏れるのを防ぐための技術、運用、組織的な取り組み全体を指します。実際の情報漏洩は、人的ミス、不正アクセス、設定不備、委託先事故など複数の原因で発生し、企業には信用低下、対応コスト増大、事業停止といった深刻な影響をもたらします。だからこそ、企業は「攻撃を防ぐ」だけでなく、「漏れてしまう前提で備える」視点を持たなければなりません。重要なのは、守るべき情報を把握し、優先順位を付け、技術対策と運用対策と体制整備を一体で進めることです。公的ガイドラインでも、体制整備、点検、監査、教育、報告連絡体制の重要性が繰り返し示されています。情報漏洩対策は、担当者任せの部分最適ではなく、企業全体で継続的に回すべき経営課題です。

    具体的な情報漏洩対策や運用のポイントについては、以下の記事で詳しく解説しています。
    企業の情報漏洩対策 ―すぐに実践できる防止策と運用のポイント―

    【参考情報】


    ウェビナー開催のお知らせ

    最新情報はこちら

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順【2026年版】

    Share
    「脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順」アイキャッチ画像

    企業のIT環境は、もはや社内サーバーやネットワーク機器だけで完結しません。業務システムはクラウドへ移行し、開発現場ではOSSの利用が当たり前になり、SaaSやコンテナ、API連携を含めた複雑な構成が一般化しています。こうした環境では、ひとつの脆弱性が単独の問題にとどまらず、情報漏えい、業務停止、サプライチェーン全体への影響へとつながることがあります。だからこそ今、多くの企業にとって重要になっているのが「脆弱性管理」です。

    脆弱性管理とは、脆弱性を見つけることそのものではありません。自社にどの資産があり、どこに弱点があり、それがどの程度危険で、いつまでに何を直すべきかを継続的に判断し、実際に改善し続ける運用を指します。本記事では、脆弱性管理の基本から、企業が実務で押さえるべき流れ、ツールの考え方、クラウドやOSS時代に欠かせないSBOMの活用まで、2026年時点の実務に沿って整理します。

    脆弱性管理とは

    脆弱性管理とは、システムやソフトウェア、クラウド環境、ネットワーク機器などに存在するセキュリティ上の弱点を継続的に把握し、評価し、修正し、再確認する一連の運用です。単発の診断や一度きりの点検ではなく、変化し続けるIT環境に合わせて回し続けることに意味があります。CISAも、脆弱性管理を「脆弱性や悪用可能な状態の発生頻度と影響を減らす取り組み」と位置づけています。

    脆弱性管理では、日々公開される脆弱性情報を継続的に確認することが重要です。多くの脆弱性は CVE(Common Vulnerabilities and Exposures) という識別番号で管理されています。CVEの仕組みについては、以下の記事で詳しく解説しています。
    CVEとは?脆弱性情報の共通識別番号を解説

    CVEは、公開されたサイバーセキュリティ上の脆弱性を識別し、共通の参照先として扱うための仕組みです。一方、NVDはそのCVE情報に対してCVSSなどの評価情報や関連データを付与し、脆弱性管理の自動化や優先順位付けに役立つデータベースとして機能しています。つまり実務では、「CVEで対象を識別し、NVDやベンダー情報で内容と深刻度を確認する」という流れが基本になります。

    現在の企業システムは、オンプレミス環境だけでなく、AWS・Azure・Google Cloud などのクラウド環境やSaaSサービスを組み合わせて構築されるケースが増えています。そのため、脆弱性管理はサーバーやネットワークだけでなく、クラウド環境やソフトウェアコンポーネントも含めて実施する必要があります。クラウドでは、基盤の一部は事業者が管理していても、設定、アクセス権、ゲストOS、コンテナイメージ、アプリケーションなどは利用企業側の責任範囲に残るためです。AWS、Microsoft、Google Cloudはいずれも共有責任モデルを明示しており、利用者側の継続的な管理を前提にしています。

    なぜ企業に脆弱性管理が必要なのか

    企業に脆弱性管理が必要な最大の理由は、脆弱性が「見つかっただけの情報」ではなく、「実際に悪用される入口」になっているからです。公開された脆弱性のすべてが直ちに攻撃に使われるわけではありませんが、CISAは実際に悪用が確認された脆弱性を Known Exploited Vulnerabilities(KEV) Catalog として公開し、組織に優先対応を促しています。つまり現代の脆弱性管理では、公開情報を眺めるだけでなく、「いま悪用されているか」「自社に影響するか」を見極めることが重要です。

    脆弱性を放置するリスクも明確です。攻撃者は、修正が遅れたVPN機器、公開サーバー、業務アプリケーション、ミドルウェア、コンテナ環境などを足がかりに侵入し、そこから権限昇格や横展開を進めます。問題は、重大な脆弱性があっても、自社資産を把握できていなければ「影響を受けているのに気づけない」ことです。脆弱性管理は、修正作業の前段として、自社に何が存在しているかを見える化する意味でも不可欠です。

    さらに、近年はOSS利用の拡大によって、ソフトウェアサプライチェーン全体のリスク管理が重要になっています。NTIAはSBOMを、ソフトウェアを構成する各種コンポーネントとそのサプライチェーン上の関係を記録する正式な記録と説明しています。OSSライブラリや依存パッケージに脆弱性が含まれていた場合、アプリケーション本体に問題がなくても、企業システム全体に影響が及ぶ可能性があります。これが、いわゆるソフトウェアサプライチェーンリスクです。

    クラウド利用の拡大も、脆弱性管理の必要性をさらに高めています。クラウド環境では、サーバーを一度構築して終わりではなく、構成変更、イメージ更新、コンテナ再配備、アクセス制御変更などが高頻度で発生します。そのため、脆弱性管理を継続的に実施しなければ、未更新のソフトウェアや脆弱なイメージ、設定不備がそのまま攻撃対象になる可能性があります。共有責任モデルのもとでは、クラウド事業者がすべてを守ってくれるわけではありません。自社が責任を持つ範囲を理解し、そこを継続的に点検する必要があります。

    脆弱性管理の基本プロセス

    脆弱性管理の基本プロセスは、一般に以下のような流れです。

    • 脆弱性の発見
    • 脆弱性評価
    • 修正
    • 検証

    ただし実務では、前提としてソフトウェア資産の把握が欠かせません。なぜなら、何を保有しているか分からない状態では、脆弱性情報を受け取っても影響判断ができないからです。NVDのような脆弱性データベースは、脆弱性管理の自動化や評価に使える標準化データを提供していますが、それを生かすには自社資産との突合が必要です。

    脆弱性の発見は、公開情報の確認だけでなく、スキャンツール、構成管理情報、ベンダーアドバイザリ、クラウドのセキュリティ機能など、複数の情報源を組み合わせて行います。次に必要になるのが評価です。ここではCVSSのような一般的な深刻度だけでなく、インターネット公開の有無、業務影響、悪用実績、代替策の有無、修正難易度などを踏まえて、自社にとっての優先度を決める必要があります。NVDも、CVSSは深刻度の定性的な指標であり、リスクそのものではないと明示しています。

    その後、実際に修正を行います。修正方法は、パッチ適用、設定変更、バージョンアップ、アクセス制御の見直し、機能停止、ネットワーク遮断などさまざまです。最後に、修正後の検証を実施し、本当に脆弱性が解消されたか、別の不具合を生んでいないかを確認します。この「修正して終わりにしない」ことが、脆弱性管理を単なる作業ではなく運用として成立させるポイントです。脆弱性管理では、まず自社のIT資産を正確に把握することが重要です。対象にはサーバーやネットワークだけでなく、クラウド環境、利用しているOSSライブラリなども含まれます。

    IT資産管理と脆弱性管理の関係については、以下の記事で詳しく解説しています。
    脆弱性管理とIT資産管理とは?サイバー攻撃から組織を守る取り組み

    近年では SBOM(Software Bill of Materials) を利用してソフトウェア構成を可視化する企業も増えています。SBOMは、ソフトウェアに何の部品が含まれているかを一覧化する考え方で、影響範囲の特定や依存関係の把握に有効です。
    SBOMとは?ソフトウェア部品表の基本と企業が導入すべき理由

    脆弱性管理のフロー(実務)

    実務に落とし込むと、脆弱性管理の流れは以下のような順番で整理することができます。

    1. 脆弱性情報の収集
    2. クラウド・OSSへの影響確認
    3. 優先度判断
    4. 修正
    5. 再確認

    まず行うべきは、CVE、ベンダーアドバイザリ、クラウドベンダー通知、各種セキュリティ情報の収集です。ここで漏れがあると、そもそも対応のスタート地点に立てません。CISAは、実際に悪用が確認された脆弱性についてKEV Catalogの確認と優先的な是正を強く推奨しています。

    次に必要なのが、収集した情報が自社環境に関係するかどうかの確認です。オンプレミス機器だけなら比較的見通しが立ちますが、現在はクラウド上のワークロード、コンテナ、OSSライブラリ、CI/CDで取り込んだ部品まで視野に入れなければ、実態を取り逃がします。とくにOSS脆弱性は、アプリケーション本体よりも深い依存関係に潜んでいる場合があり、SBOMやSCAの仕組みがないと把握が難しくなります。

    優先度判断では、CVSSの高さだけで対応順を決めないことが重要です。CVSSは比較の基準になりますが、公開サーバーにあるのか、認証が必要なのか、すでに悪用実績があるのか、業務停止時の影響はどれほどかによって、実際の対応順は変わります。NVDもCVSSをリスクそのものではないと説明しており、KEVのような実悪用情報と組み合わせて判断するのが現実的です。

    修正段階では、パッチ適用だけに視野を限定しないことが大切です。クラウド環境では、OSやミドルウェアの更新に加え、コンテナイメージの差し替え、設定変更、公開範囲の見直し、権限調整なども重要な対策になります。修正後は再スキャンや設定確認を行い、実際に解消されたことを確認します。ここで検証が不十分だと、「対応したつもり」で終わってしまい、後になって再発見されることがあります。

    脆弱性管理では、脆弱性を発見するだけでなく、発見された脆弱性に対して迅速に対応することが重要です。適切な脆弱性対応を行わなければ、攻撃者に悪用され、情報漏えいやシステム停止などの重大なインシデントにつながる可能性があります。脆弱性対応の基本的な流れや実務での対応方法については、以下の記事で詳しく解説しています。
    脆弱性対応とは?CVE対応とパッチ管理の実務フロ

    近年ではクラウド環境やOSSライブラリに含まれる脆弱性の影響調査も重要になっています。SBOMを利用すると、影響範囲を迅速に把握できます。

    脆弱性管理ツールの種類

    脆弱性管理を実務で回すには、ツールの力を借りることが現実的です。ただし、ひとつの製品で全領域を完全にカバーできるとは限りません。一般的な脆弱性スキャナーは、ネットワーク機器、サーバー、OS、ミドルウェア、Webアプリケーションの既知脆弱性を見つけるのに有効ですが、OSSライブラリの依存関係やソフトウェア部品表までは十分に扱えないことがあります。そこで、管理ツール、クラウドセキュリティツール、SBOM管理ツール、SCAツールなどを役割ごとに組み合わせる設計が必要になります。

    たとえば、CSPMやCNAPPのようなクラウド向けツールは、クラウド設定やワークロードの状態を継続的に可視化するのに向いています。一方、SCAはアプリケーションが依存しているOSSコンポーネントを洗い出し、既知脆弱性との突合を支援します。SBOM管理ツールは、その構成情報を継続管理し、影響調査を効率化する役割を持ちます。2026年の脆弱性管理では、ネットワークやサーバーだけを見ていても不十分で、クラウドとソフトウェアサプライチェーンまで含めた多層的な可視化が必要です。

    OSSの脆弱性を管理するために、SCA(Software Composition Analysis)ツールやSBOM管理ツールを導入する企業も増えています。これは、ソフトウェアの構成部品とその依存関係を可視化しなければ、OSS由来の脆弱性が自社に影響するかどうかを迅速に判断しにくいためです。NTIAも、SBOMをソフトウェア構成要素の透明性向上に役立つ仕組みとして整理しています。

    SCA(Software Composition Analysis)ツールとは
    ソフトウェアに含まれるオープンソースや外部ライブラリの構成要素を解析し、既知の脆弱性やライセンスリスクを可視化するセキュリティツールです。依存関係を自動的に検出し、CVEなどの脆弱性データベースと照合することで、潜在的なリスクを早期に特定できます。また、ライセンス違反の有無も確認でき、コンプライアンス対応にも有効です。開発プロセスに組み込むことで、セキュアで安全なソフトウェア開発を支援します。

    脆弱性スキャンについてはこちらの記事でも詳しく解説しています。
    脆弱性スキャンとは?脆弱性診断ツールの選び方と導入ポイント

    企業の脆弱性管理の課題

    多くの企業が脆弱性管理に苦労する理由は、脆弱性そのものより、管理対象の広がりにあります。

    IT資産の把握

    まず大きいのが、IT資産の把握が難しいことです。クラウド移行、テレワーク、SaaS利用、部門独自導入のツール、コンテナ活用が進むと、情報システム部門が把握していない資産が生まれやすくなります。この状態では、脆弱性情報を受け取っても、自社への影響有無を正確に判断できません。

    OSS依存関係の管理

    現代のソフトウェアは、直接導入しているライブラリだけでなく、その下位の依存関係にも数多くの部品を抱えています。表面的には安全に見えても、深い階層に脆弱なコンポーネントが含まれていることは珍しくありません。

    SBOMの未整備

    SBOMが未整備だと、こうした影響範囲調査に時間がかかり、対応の遅れにつながります。

    クラウド環境の可視化不足

    クラウドでは、責任分界が従来のオンプレミスとは異なり、サービス形態によって利用者側の責任範囲が変わります。そのため、「クラウド事業者が面倒を見ているはず」と誤解してしまうと、更新漏れや設定不備を放置しやすくなります。共有責任モデルを前提に、自社の管理範囲を明確にしなければ、脆弱性管理は形骸化します。

    OSS利用時に重要な脆弱性管理(SBOMの活用)

    OSSの活用は、開発効率や品質向上の面で大きなメリットがありますが、その一方で脆弱性管理を複雑にします。理由は明快で、企業が自分で一から書いていないコードであっても、最終的に自社サービスや製品の一部として責任を負うからです。OSS由来の脆弱性は、アプリケーション本体ではなく依存パッケージに潜んでいることも多く、目視や台帳だけで追いきるのは現実的ではありません。

    ここで重要になるのがSBOMです。NTIAはSBOMを、ソフトウェアを構成する各種コンポーネントとサプライチェーン上の関係を記録する正式な記録と定義しています。これを整備しておけば、新たな脆弱性が公表された際に、「自社のどのシステムに、その部品が含まれているか」を調べやすくなります。結果として、影響調査の初動が速くなり、不要な全件調査や属人的な確認作業を減らせます。

    SBOMは、単に監査対応のために作る資料ではありません。脆弱性管理の実務で使えてこそ意味があります。たとえば、SCAツールで依存関係を検出し、その情報をSBOMとして管理し、脆弱性公表時に突合するという流れが定着すれば、OSS脆弱性への対応速度と精度を高めやすくなります。今後の企業システムでは、OSS利用時の脆弱性管理をSBOM抜きで考えることは難しくなっていくでしょう。

    脆弱性管理を効率化する方法

    脆弱性管理を効率化する方法はいくつかあります。

    資産管理の自動化

    資産台帳を手作業で維持する運用では、クラウドやコンテナ、SaaSの増減に追いつけません。CMDB、クラウド資産可視化、ID管理、EDRやMDMの情報などを組み合わせて、現時点の資産情報を継続的に更新できる状態を目指す必要があります。資産情報が整えば、脆弱性情報との突合精度も上がります。

    OSS脆弱性監視

    OSS脆弱性監視の仕組みを作ることも重要です。開発時点だけでなく、運用中のアプリケーションについても、依存ライブラリの脆弱性を継続監視しなければなりません。脆弱性管理をインフラ部門だけの仕事にせず、開発部門やDevOps運用の中に組み込むことが、今の実務では不可欠です。

    SBOMによるソフトウェア構成管理

    SBOMによるソフトウェア構成管理を取り入れることで、影響調査の速度と精度をさらに高められます。SBOMが整っていれば、新たなCVEが公表された際にも、対象ソフトウェアの所在確認を短時間で進めやすくなります。加えて、KEVのような実悪用情報を監視し、CVSSだけでなく悪用実績も含めて優先順位を決める運用にすれば、限られた人員でも効果的に対応しやすくなります。脆弱性管理を効率化するとは、単にツールを増やすことではなく、「見つける」「判断する」「直す」を早く回せる仕組みへ変えることです。

    まとめ

    脆弱性管理とは、脆弱性を発見する作業ではなく、自社のIT資産、クラウド環境、OSSコンポーネントを継続的に把握し、影響を判断し、優先順位をつけて修正し、再確認する運用そのものです。2026年の企業環境では、オンプレミスだけを見ていては不十分で、クラウド、SaaS、コンテナ、OSSまで含めた視点が欠かせません。とくに、実際に悪用される脆弱性への対応と、SBOMを活用したソフトウェア構成の可視化は、これからの脆弱性管理の重要な柱になります。

    まず取り組むべきなのは、完璧な仕組みを一気に作ることではなく、自社の資産を洗い出し、脆弱性情報を収集し、優先度を判断し、修正後に確認するという基本サイクルを止めずに回すことです。そのうえで、クラウド可視化、SCA、SBOM管理などを段階的に取り入れていけば、脆弱性管理は現場で機能する実践的な仕組みに育っていきます。


    【関連ウェビナーのご案内】
    本記事では、脆弱性スキャンとは何か、脆弱性診断との違い、ツール比較のポイント、導入時の考え方までを整理しました。次回、5月20日(水)14時からの開催のウェビナーでは、AssetViewFutureVulsのメーカーが登壇し、各領域の役割をどのように整理し、どのように連携させれば実効性ある脆弱性管理が実現できるのか、解説します。脆弱性管理の考え方について深くを理解されたい方は、ぜひご参加ください。

    その他のウェビナー開催情報はこちら


    BBSecでは

    BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

    SQAT®脆弱性診断サービス

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    アタックサーフェス調査サービス

    インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    IPA情報セキュリティ10大脅威2026にみる、AI時代のサイバーリスク

    Share
    「IPA情報セキュリティ10大脅威 2026に見る、AI時代のサイバーリスク」アイキャッチ画像

    近年、生成AIをはじめとするAI技術の進展により、組織におけるAIの活用は急速に広がっています。本記事では、IPA「情報セキュリティ10大脅威 2026」の内容をもとに、AIの利用をめぐるサイバーリスクについて整理するとともに、企業に求められる対応の方向性について解説します。

    IPA「情報セキュリティ10大脅威」速報版の記事はこちら。「AIの利用をめぐるサイバーリスク」以外の脅威の項目についても知りたい方は、こちらもぜひあわせてご覧ください。
    【速報版】情報セキュリティ10大脅威 2026 -脅威と対策を解説-

    はじめに

    業務効率の向上や新たな価値創出の手段として、多くの企業がAIの導入を進めています。一方でAI利用に伴うリスクについても、十分な注意が求められています。こうした状況を反映して、IPA(独立行政法人情報処理推進機構)が公表した「情報セキュリティ10大脅威 2026」において、「AIの利用をめぐるサイバーリスク」という脅威が初めてランクインし、3位に位置付けられました。

    なぜいま「AIの利用」が脅威として注目されるのか

    IPA「情報セキュリティ10大脅威」は、前年に発生した社会的影響の大きい事案等をもとに選定されたものであり、順位は単純に危険度の高さを示すものではありません。しかし、AI利用に関するリスクが新たに選出されたことは、企業や組織におけるAI活用の拡大と、それに伴う課題の顕在化を示すものといえるでしょう。

    2026年3月12日に公開された、IPA「情報セキュリティ10大脅威 2026」解説書では、AIは有用なツールである一方で、十分な理解がないまま利用した場合、情報漏洩や権利侵害といった問題につながる可能性があると指摘されています。特に、生成AIへの入力内容が外部に取り扱われることによる機密情報の漏洩や、生成された情報の正確性を確認せずに業務に利用することによって発生するトラブルなど、従来の情報システム利用とは異なる観点でのリスクが挙げられています。 また、AIは利用者の裾野が広く、専門的な知識がなくても活用できるという特性を持っています。そのため、組織として利用状況を把握しきれないまま、個人単位で業務利用が進むケースも想定されます。このような利用形態は、管理の行き届かないリスク、いわゆるシャドーITに類似した問題を引き起こす可能性があります。

    AI利用をめぐる主なリスク

    IPAはAIの利用拡大に伴い、いくつかの代表的なリスクが指摘しています。これらは、AIの技術そのものというよりも、その利用方法や特性に起因するものが多い点が特徴です。

    • 情報漏洩リスク
    • 誤情報生成リスク(ハルシネーション)
    • サイバー攻撃の高度化リスク
    • 利用実態の把握困難(シャドーAI)
    • 権利侵害リスク

    生成AIへの入力内容に起因する情報漏洩

    クラウドサービスとして提供されるAIに対し、機密情報を入力することで、意図せず外部に情報が送信される可能性があるというリスクです。

    AIの出力結果に関するリスク

    対話型AIは実在しない情報を生成する(=ハルシネーション)場合があり、このことを十分に理解せずに利用すると、誤った判断や誤情報発信につながるおそれがあります。

    AIの悪用によるサイバー攻撃の高度化

    AIを活用することで、攻撃の効率化や手口の巧妙化が進む可能性があります。さらに、組織における利用実態の把握が難しい点も重要なリスクです。

    シャドーAIのリスク

    個人単位でAIサービスを利用されてしまうことで、組織の目の届かない範囲での利用が発生する可能性があります。

    著作権侵害などの権利問題

    AIの利用に関する理解不足により、著作権侵害などの権利問題が生じる可能性も指摘されています。

    AI利用において想定される主な事例

    AI利用に伴うリスクは、特別な環境でのみ発生するものではなく、日常業務の中で自然に発生し得るものです。例えば業務の効率化を目的として、従業員が個人で利用している生成AIサービスを業務に活用するケースが考えられます。メール文面の作成や資料作成の補助としてAIを利用する延長で、社内資料の内容や顧客情報をそのまま入力してしまうことがありえます。生成AIはクラウド上で動作しており、入力した内容はサービス側で処理されます。場合によっては、入力内容がサービスの改善や学習に利用されることもありえます。この点を十分に理解しないまま利用すると、機密情報を外部サービスに送信してしまうことになり、情報漏洩につながるおそれがあるのです。

    また、対話型AIの回答をそのまま精査せずに業務に利用してしまうことで問題に発展する可能性もあります。調査や資料作成の過程でAIが生成した情報を十分に確認せずに利用した結果、ハルシネーションの内容を含んだまま社内外に共有してしまうといった事態が起こり得ます。このように、AI利用に伴うリスクは特定の専門領域に限らず、日常業務の延長線上で発生する点に特徴があります。

    組織における課題

    AIの利用が広がる一方で、組織としてこれらのリスクを適切に管理することにはいくつかの課題があります。

    社内でのAI利用の促進とルールの策定のバランス

    まず、AI利用に関するルールやガイドラインの整備が追いついていない点が挙げられます。現場での利用が先行する中で、組織としての利用方針が明確でない場合、統一的な管理が難しくなります。また、利用状況の把握が困難であることも大きな課題です。クラウド型のAIサービスは個人単位で容易に利用可能なため、組織として誰がどのように利用しているかを正確に把握することが難しくなります。実際には、想定以上に広範囲で利用が進んでいるケースも少なくありません。さらに、ポリシーを整備しても現場に浸透しないという課題もあります。AIは業務効率の向上に直結するため、利便性を優先してルールが守られないケースや、現場ごとに独自の運用が行われるといった状況も発生し得ます。加えて、AI利用と既存のセキュリティ対策との間にギャップが生じる点も課題です。従来のセキュリティ対策は想定していなかった利用形態が増えることで、管理や統制が追いつかない場面が生じる可能性があります。さらに、利用者への教育不足も課題の一つです。AIの特性やリスクに関する教育や周知が十分でないために、組織として意図しない利用が広がり、統制が効かなくなるおそれがあります。

    このように、AIの活用においては、ルール整備や利用状況の把握といった基本的な対応に加え、実際の運用における課題も踏まえた継続的な対応が求められます。

    企業が取るべきアクション

    AIの利用に伴うリスクに対応するためには、個別の技術対策にとどまらず、組織としての管理と運用の整備が重要となります。AI利用に関しては、ルール整備や教育、基本的なセキュリティ対策の徹底といった観点での対応が求められています。

    1. AIの利用に関するルールやガイドラインの整備
      どのような用途でAIを利用してよいのか、入力してよい情報の範囲、利用してはならない行為などを明確に定めることで、利用に伴うリスクを一定程度抑制することが可能となります。
    2. 利用状況の把握と管理
      AIサービスは個人単位でも容易に利用できるため、組織としてどのように利用されているかを把握し、必要に応じて管理の対象とすることが重要です。これにより、管理の行き届かない利用、いわゆるシャドーAIの発生を抑制することが期待されます。
    3. AI利用者への教育
      AIの特性やリスクについて正しく理解させることで、生成結果の確認や適切な情報の取り扱いといった基本的な行動を促すことができます。技術的な制御だけでなく、利用者の理解を前提とした運用が不可欠です。
    4. 基本的なセキュリティ対策の徹底・見直し
      認証の適切な運用や情報管理の強化といった既存の対策は、AI利用においても引き続き基盤となるものです。その上で、AIの利用が業務に広く組み込まれる中では、従来の対策だけでは対応しきれない場面も想定されるため、AI利用を前提としたセキュリティの見直しや再設計が必要となる可能性もあります。

    このように、AIの安全な活用には、ルール、管理、教育、AIを前提とした基本的なセキュリティ対策といった複数の観点からの継続的な取り組みが重要です。

    AI時代に求められるセキュリティ支援

    こうした課題に対応するためには、組織単独での取り組みだけでなく、専門的な支援の活用も有効です。以下のようなセキュリティ支援の例が挙げられます。

    • セキュリティ診断・リスクアセスメント
      AI利用に伴うリスクを把握するためのセキュリティ診断やリスクアセスメントが重要となります。現状の利用状況や潜在的なリスクを可視化することで、適切な対策の検討につなげることができます。
    • 運用監視体制の強化
      AIの利用状況を継続的に監視し、問題の早期発見や対応を行う体制を整備することで、リスクの低減が期待されます。
    • AI利用ガイドライン策定支援
      組織の実態に即したルールを整備し、現場で実際に運用可能な形に落とし込むことが求められます。

    さいごに

    「情報セキュリティ10大脅威 2026」において、「AIの利用をめぐるサイバーリスク」が新たにランクインしたことは、AI活用の拡大と、それに伴う課題の顕在化を示すものといえます。AIに関するリスクは、新たな技術そのものに起因するというよりも、その利用方法や理解不足に起因する側面が大きい点が特徴です。そのため、対策としては、ルール整備や利用状況の把握、教育といった組織的な対応に加え、基本的なセキュリティ対策を継続して実施することが重要となります。

    また、IPAが示す通り、10大脅威の順位は危険度の高さを示すものではなく、自組織の状況に応じて適切にリスクを評価し、優先順位を定めて対策を講じることが求められます。 AIの活用は今後さらに進むことが想定されますが、その利便性を最大限に活かすためにも、リスクを正しく理解し、組織として適切に管理・運用していくことが重要です。


    【関連ウェビナーのご案内】
    本記事では、生成AIの利用に伴うサイバーリスクと、企業への影響について整理しました。AIの活用が進む一方で、情報漏えいや誤利用、統制の難しさといった課題が現実のものとなっています。では、こうしたリスクは実際にどのように悪用され、どのような攻撃として現れているのでしょうか。2026年4月15日に開催のウェビナーでは、生成AIを悪用した具体的な事例をもとに、サイバー脅威の実態と防御戦略を詳しく解説します。リスクの「背景」だけでなく、「実際に何が起きるのか」を理解したい方は、ぜひご参加ください。

    ウェビナー最新情報はこちら


    BBSecでは

    当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。当当サイトSQAT® jpのお問い合わせページよりお気軽にお問い合わせください。後日営業担当者よりご連絡させていただきます。

    SQAT® 脆弱性診断

    BBSecの脆弱性診断は、精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見し、防御するための問題を特定します。Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

    SQAT脆弱性診断サービスバナー画像

    SQAT® ペネトレーションテスト

    「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。脆弱性診断で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    Claude Code流出問題の全体像 ―事件からわかるAI開発リスクとサプライチェーンリスク―

    Share
    「Claude Code流出問題の全体像 ―事件からわかるAI開発リスクとサプライチェーンリスク―」アイキャッチ画像

    はじめに

    「Claude Code」で起きたソースコード流出問題の経緯、なぜnpm公開物から内部ソースへ到達できたのか、何が漏れ、何が漏れていないのかを整理します。またソースコード流出によって浮き彫りになるAI開発リスクとソフトウェア供給網のリスクについても解説します。

    Claude Codeソースコード流出の概要

    「Claude Code」はAnthropic社が提供する公式のコーディング支援ツールです。Anthropicが公開している「Claude Code Doc」の中でも、Claude Codeはコードベース理解、ファイル編集、コマンド実行、各種開発ツール連携を行う製品として説明されています。

    Claude Code流出は、単なる「話題のAIニュース」では終わりません。今回、ターミナルやIDE(統合開発環境)からコード編集、コマンド実行、検索、Git操作まで担う実運用の開発基盤の中核にあたる実装の一部が、npm配布物に含まれたソースマップ(source map)を起点に外部から参照可能な状態になっていたことがわかりました。本事件はAIエージェント時代のソフトウェアサプライチェーン問題として捉える必要があります。

    流出の発端と技術的な経路(source map問題)

    本事件で最初に押さえるべきなのは、「Claude本体のモデル重みが漏れた」のではなく、「Claude Codeという周辺プロダクトのソースコードが到達可能になった」という点です。事件の発端となったのは、Chaofan Shou氏(@Fried_rice)によるXの投稿です。2026年3月31日、Chaofan Shou氏は「Claude code source code has been leaked via a map file in their npm registry」(訳:Claude Codeのソースコードが、npmレジストリ内のmapファイルを通じて流出した)と投稿しており、少なくとも現時点で公開されている初動情報の起点は、この発見報告にあると考えられます。

    その後に作成されたいくつかの公開GitHubリポジトリでは、漏洩経路について「npmパッケージに含まれたソースマップが、難読化前のTypeScriptソースを指しており、その参照先からsrc一式を取得できた」と説明しています。GitHubリポジトリ自体はAnthropicの公開情報ではないため、そこに書かれた全内容を鵜呑みにするべきではありませんが、少なくとも複数の公開Claude Artifacts(アーティファクト)が同じ経路を示していること、そして後述するAnthropic公式のGitHub上のIssueでも「流出またはデコンパイルされたClaude Codeのソースコード」を前提に議論が進んでいることから、ソースマップ起点として内部実装が可視化されたという大筋は相当に確度の高い情報だと言えます。さらに公開リポジトリのREADMEでは、「約1,900ファイル、51万行超のTypeScriptコードが露出した」と説明しています。

    流出した内容と影響範囲

    本事件が注目を集めた理由は、Claude Codeが単なるCLIラッパーではなく、幅広い機能群を内包したAI開発支援基盤であるためです。Anthropicの公開リポジトリと公式リリースノートを見るだけでも、Claude CodeにはIDE連携、MCP、プラグイン、履歴再開、権限管理、Web検索、各種設定や運用補助機能が継続的に追加されていることがわかります。また公開GitHubスナップショットREADMEでも、ツールシステム、コマンド群、IDEブリッジ、マルチエージェント協調、スキル、プラグイン、メモリやタスク管理など、多層的な構造が記述されています。

    つまり今回のClaude Code流出問題は、AIコーディング支援の表面だけでなく、その実装思想や運用機能の一端まで外から読める状態になったという意味を持ちます。

    何が漏れ、何が漏れていないのか

    Anthropic公式情報でも、Claude Codeの内部実装に関するソースコード断片や構成が公開状態になったことは裏づけられています。Anthropic公式GitHubのIssueでも、流出コードを前提とした解析が行われていました。

    Anthropicの公式GitHubリポジトリに2026年3月31日付で立てられたIssueでは、「source code isn’t publicly available, so this analysis is based on the leaked/decompiled Claude Code source」(訳:ソースコードは公開されていないため、本分析は流出またはデコンパイルされたClaude Codeのソースコードに基づく)と投稿され、Xでの発見報告とGitHub上の流出スナップショットを参照していたということがわかります。つまり、少なくともコミュニティ側では流出コードを参照した解析が現実に行われ、それがAnthropicの管理下のIssue空間にも持ち込まれていたということです。

    一方で、複数の報道機関によれば、「Anthropicが今回の件を「人為的ミス」によるものと認め、顧客データや認証情報、Claudeモデルそのものの重みは流出していない」と説明したとしていますが、この点は一次ソースではなく報道ベースの情報として慎重に扱う必要があります。

    なぜ深刻なのか:AIエージェント時代のリスク

    それでも、このClaude Codeソースコード流出が深刻なのは、顧客データ漏洩の有無だけでは影響範囲が測れないからです。AIエージェント製品では、モデル重みそのものに価値があるのはもちろんですが、実際の使い勝手や競争力は、その周囲にあるハーネス、権限管理、ツール呼び出し、コンテキスト処理、UI、IDE統合、再開機能、運用設計によって大きく左右されます。公開スナップショットにあるディレクトリ構成やコマンド一覧、サービス層の説明を見ると、Claude Codeがかなり成熟した「製品化されたAIエージェント」であることが読み取れます。競合や研究者にとって、こうした実装知見が外から見える状態になることの意味は小さくありません。

    特に重要なのは、Claude Codeが単にコードを生成するAIだけではなく、ローカル環境や周辺ツールに触れながら作業を進めるAIエージェントとして設計されている点です。漏洩したとされる公開スナップショットにも、Bash実行、ファイル読み書き、Web取得、Web検索、MCP、LSP、タスク作成、スケジュール実行などの機能が列挙されています。これは、今後のAIセキュリティを考える際に、モデル単体の安全性だけでは足りず、エージェントの実行基盤や配布パッケージの安全性まで視野に入れなければならないことを示しています。

    AIエージェント時代の新課題、Non Human Identity(NHI)のセキュリティ課題と今後のAIコーディングに求められる実践的な視点を解説した記事はこちら。ぜひあわせてご覧ください。
    AIコーディング入門 第5回:NHI(Non‑Human Identity)とAIエージェントのセキュリティ課題

    ビルド・配布プロセスにおける問題の本質

    さらに今回の一件は、ソースコード流出そのものだけでなく、公開物のビルド管理や配布管理の問題としても重要です。ソースマップ(source map)は本来、デバッグや解析のためには有用ですが、公開パッケージに不用意に含めれば、難読化やバンドルの前提を崩し、実装内部への入口になります。もしREADME記載どおり、ソースマップが外部ストレージ上の元ソース一式を指していたのであれば、問題は単なる「mapファイル混入」で終わりません。公開パッケージ、参照先URL、ストレージ公開設定、リリース工程のチェック体制まで含めた、供給網全体の設計ミスになります。ここにClaude Codeソースコード流出問題の本質があります。

    「影響は限定的」という見方の限界

    本事件をめぐる議論では、「どうせAIのコードはすぐ変わるから被害は限定的だ」という見方もあります。これは半分正しいです。たしかにプロダクトコードは日々更新されます。それでも、ある時点の設計方針、抽象化の仕方、権限制御、内部機能のつながり、未公開機能の痕跡は、競争戦略や攻撃面の理解に十分な価値を持ちます。現に公開スナップショットには、マルチエージェント協調、チーム作成、スキル実行、メモリ同期、リモートトリガーといった、単純なCLI以上の発想が読み取れる記述が含まれています。AI開発企業にとって、こうしたプロダクト実装の漏えいは、顧客情報漏えいとは別種の経営リスクです。

    企業が取るべき対応と実務上の教訓

    企業の情報セキュリティ担当者や開発責任者にとって、本事件から学ぶべき教訓は明確です。第一に、公開パッケージの中身を「本番ビルド成果物」だけでなく、「付随ファイル」まで含めて検査する必要があります。第二に、ソースマップやデバッグアーティファクトの扱いを、開発者の善意や慣習に任せてはいけません。第三に、クラウドストレージの参照先や署名URL、生成物の格納ルールを、CI/CDと一体で見直すべきです。第四に、AIエージェント製品では、モデルAPIの保護だけでなく、CLI、IDE拡張、SDK、プラグイン、MCP連携のような周辺面を含めてセキュリティレビューをかける必要があります。Claude Codeの公式リリースノートを見るだけでも、製品は短い周期で多機能化しており、変化の速さ自体がリスク管理を難しくしています。

    もう一つ重要なのは、事故後の透明性です。現時点で確認できるAnthropic公式情報は、Claude Codeの製品説明やリリースノートが中心で、今回のソースコード流出事件についての障害報告書は見当たりません。そのため、実務的には「発生原因」「影響範囲」「再発防止策」を公式にどこまで明文化するかが、今後の信頼回復を左右します。AI安全性を強く掲げる企業であればなおさら、モデル安全だけではなく、配布と運用の安全性でも説明責任が問われます。今回のClaude Codeのソースコード流出は、その現実を突きつけた出来事となります。

    まとめ

    Claude Codeソースコード流出事件はAI本体が破られた事件ではありませんが、AI製品はモデルだけ守ればよい、という幻想は崩されました。AIコーディング支援、AIエージェント、開発者向けCLI、IDE統合、MCP、プラグイン基盤といった要素が一体化した時代において、情報漏洩リスクはモデル重みだけでなく、配布物、周辺コード、実行制御、設定、公開ストレージにもまたがります。Claude Code流出事件を単なる興味本位の話題で終わらせるのではなく、現代のソフトウェアサプライチェーンの課題とAIプロダクト運用の脆さを示す事例として読むべきでしょう。

    参考文献


    サイバーインシデント緊急対応

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2026年4月10日(水)14:00~15:00
    ランサムウェア時代のIT-BCP入門~サイバー攻撃によるシステム停止に備える実践的な策定ステップ~
  • 2026年4月15日(水)14:00~15:00
    AI時代のサイバー脅威最前線 ― IPA『情報セキュリティ10大脅威2026』から学ぶ防御戦略 ―
  • 2026年4月22日(水)14:00~15:00
    Swift CSCF v2026変更点解説セミナー ― Control 2.4 (Back Office Data Flow Security)の必須化とCustomer client connectorへの要件適用拡大 ―
  • 最新情報はこちら

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Axiosのサプライチェーン攻撃とは何だったのか ―npm改ざんの経緯、影響範囲、企業が今すぐ確認すべき対応を解説―

    Share
    「Axiosのサプライチェーン攻撃とは何だったのか」アイキャッチ画像

    2026年3月31日、JavaScriptの代表的なHTTPクライアントであるAxiosで、深刻なサプライチェーン攻撃が確認されました。影響を受けたのはニュースメディアのAxiosではなく、npmで広く利用されているOSSライブラリのaxiosです。今回の事案は、単なる脆弱性公表ではありません。正規のメンテナー権限が侵害され、信頼されていたパッケージ自体がマルウェア配布の経路になった点に本質があります。JavaScriptライブラリ、npm、依存関係、CI/CD、開発端末という、現代のソフトウェア開発に欠かせない基盤がまとめて狙われた事例として、今後も長く参照される可能性があります。

    何が起きたか ―Axiosのnpmパッケージに不正版が公開

    Google Cloud Blogで公開された「North Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain Attack」によると、2026年3月31日00:21 世界標準時(UTC)から03:20 UTCの間に、axiosのnpm公開版のうち1.14.1と0.30.4へ悪意ある依存関係が混入しました。問題の依存関係はplain-crypto-jsで、これは通常のAxios機能に必要なものではなく、postinstallフックを通じてインストール時に自動実行されるよう細工されていました。つまり、影響を受けた環境では、アプリケーションがAxiosを使ったかどうかではなく、その版をnpm installした時点で不正コード実行の可能性が生じる構造でした。

    AxiosのGitHub Issue #10604でも、axios@1.14.1とaxios@0.30.4が侵害されていたことが公に共有されています。公式issue自体は技術詳細が少ないものの、外部研究者からの指摘が速やかに可視化されたことで、npm配布物とGitHub上の正規ソースの間に乖離が生じていたことが早期に認識されました。

    本質は「脆弱性」でなく「信頼の乗っ取り」

    本事案を理解するうえで重要なのは、Axios本体のコード品質に起因する一般的な脆弱性とは性質が違う点です。StepSecurityの公式Blog「axios Compromised on npm – Malicious Versions Drop Remote Access Trojan」によると、攻撃者はAxiosメンテナーのnpmアカウントを侵害し、通常のGitHub Actions経由のTrusted Publisherではなく、盗まれた認証情報を使って悪性版を公開したとのことです。正規リリースではGitHub Actions由来の公開痕跡が見える一方、問題の1.14.1ではそのパターンが崩れており、さらにGitHub側に対応するコミットやタグも確認できませんでした。これは、開発者が「公式パッケージだから安全」と判断しやすい場所そのものが改ざんされたことを意味します。ソフトウェアサプライチェーン攻撃が危険視される理由はここにあります。アプリケーション開発者は通常、依存パッケージを全面的に目視監査しません。しかもAxiosは週あたり1億回規模で利用される人気ライブラリであり、上流の1パッケージが汚染されるだけで、その影響は大量の開発環境、ビルドサーバー、CIランナー、社内アプリケーションへ連鎖する可能性があります。Google Cloud Blog(前段参照)では今回の事案による影響は広範にわたる、と警告しており、単発のnpm事故では済まない可能性を示しています。

    悪性版Axiosはどのように動いたのか

    Google Cloud Blogによると、混入されたplain-crypto-jsは難読化されたドロッパーであり、Windows、macOS、Linuxを対象にWaveShaper.V2のバックドアを展開したとのことです。package.jsonのpostinstallによってバックグラウンドでsetup.jsが実行されるため、開発者の体感としては、ただ依存関係を導入しただけに見えます。Socket公式ブログ「Supply Chain Attack on Axios Pulls Malicious Dependency from npm」やStepSecurityブログ(前段参照)でも、plain-crypto-jsは本来のAxios機能では参照されておらず、マルウェア配布のためだけに差し込まれた依存関係だった、と整理しています。さらにStepSecuritは、当該ドロッパーがC2へ接続し、OSごとの第2段階ペイロードを取得した後、自己削除やpackage.jsonの正常化で痕跡隠蔽を試みると説明しています。ここが企業実務では特に重要です。単に「悪い版を消して入れ直せば終わり」ではなく、インストールを実行した開発端末やCI環境そのものを侵害前提で確認すべき、という判断につながるからです。

    影響を受けるのはどんな企業か

    影響範囲は、Axiosを直接使うWebアプリ開発チームに限りません。Socketは、^1.14.0や^0.30.0のようなキャレット範囲指定をしていたプロジェクトでは、次回のnpm install時に不正版を取得し得たと指摘しています。つまり、明示的に最新版へ上げた覚えがなくても、自動解決で悪性版を拾う余地がありました。この特徴はnpm運用の現実とよく一致しており、依存関係を日常的に更新する開発現場ほど巻き込まれる可能性が高まります。

    また、企業内で見落とされやすいのがCI/CDパイプラインです。StepSecurityは、問題の版が公開されていた時間帯にnpm installやnpm ciを実行したビルド環境を重点確認対象として挙げています。開発者PCだけでなく、CIランナー、検証環境、コンテナビルド基盤、さらにはその先の秘密情報管理まで連鎖確認が必要になります。サプライチェーン攻撃は「ライブラリの問題」だけに限らず、認証情報の流出、ビルド改ざん、社内への横展開まで発展する可能性があるのです。

    北朝鮮系脅威アクターとの関連は?

    Google Cloud Blogでは今回の活動は北朝鮮のハッカー集団「UNC1069」が関与している、と指摘しています。理由として、「WaveShaper.V2」のバックドアを使用している点や攻撃インフラと過去活動の重なりが示されています。

    企業は何をもって「影響あり」と判断すべきか

    まず確認すべきなのは、2026年3月31日の短い公開ウィンドウの間に、axios@1.14.1またはaxios@0.30.4、あるいはplain-crypto-js@4.2.1を取得した痕跡があるかどうかです。

    StepSecurityは、ローカルリポジトリやpackage-lock.json、node_modules内の痕跡確認方法を示しています。Cybozuの注意喚起でも、日本時間の2026年3月31日9:21〜12:15ごろに該当処理を行った環境は、問題のあるAxiosをインストールした可能性があるとしています。日本企業にとっては、この日本標準時(JST)での切り替えが実務上わかりやすい基準となります。ただし、痕跡確認で「見つからなかった」というだけでは完全に安心できません。今回のペイロードは痕跡隠蔽も伴うため、その時間帯にビルドや依存更新を実行した環境は、ログ、ネットワーク通信、認証情報利用履歴まで含めて点検したほうがよいです。特にCI環境にクラウド資格情報や署名鍵、デプロイトークンを置いている組織は優先度が高いでしょう。サプライチェーン攻撃では、初動対応の遅れが二次被害につながります。

    今回のAxios事案で推奨される初動対応

    今回の事案で重要なのは、単なるパッケージの差し替えではなく、侵害前提のインシデントレスポンスです。StepSecurityでは、axios@1.14.1または0.30.4をインストールしていれば、システム侵害を前提として扱うべきだとしています。これはドロッパー型マルウェアと開発環境侵害の組み合わせを考えると、合理的な判断といえます。少なくとも、端末隔離、トークンや認証情報のローテーション、CIシークレットの再発行、該当ジョブやコンテナの洗い替え、関連ログの保存は必要になるでしょう。

    また、依存関係の修正では、問題のある版を避けて既知の正常版へ戻す必要があります。StepSecurityブログの比較によると、axios@1.14.0および0.30.3には問題のplain-crypto-js依存が存在しません。したがって、少なくとも悪性版から即時ロールバックする対象としてこの二つは確認済みのクリーン版といえます。将来的な正式後継版の採用は、Axios側による公式情報や検証結果を見て判断するのが安全でしょう。

    なぜAxiosのサプライチェーン攻撃はここまで注目されたのか

    理由は主に3つ挙げられます。第一に、AxiosがJavaScript開発で極めて広く使われていることです。第二に、ソースコードレベルでは目立ちにくい依存関係の一点差し替えで成立していたことです。第三に、Windows、macOS、Linuxの全方位を狙うクロスプラットフォーム型だったことです。GoogleもElasticも、この事案を単発のnpm汚染ではなく、最近続いているオープンソース供給網攻撃の流れの中で捉えています。つまり、OSSの人気パッケージを踏み台にして開発者環境を取るという攻撃モデルが、今後さらに一般化する可能性があります。

    企業の情報システム部門やセキュリティ担当者にとって重要なのは、「脆弱性管理だけではこの種の攻撃を十分に捉えきれない」という点です。今回のようなAxiosのサプライチェーン攻撃では、CVEの有無より先に、配布経路、署名・公開フロー、依存解決、CI実行タイミングがリスクの中心になります。ソフトウェア部品表、依存関係監視、公開直後版のクールダウン、Trusted Publisherの徹底、CIシークレット分離といった運用論が、一気に現実味を帯びたといえます。

    Axiosのサプライチェーン攻撃から企業が学ぶべきこと

    本事案は、「有名ライブラリだから安全」「公式アカウントから出た版だから安全」という前提が崩れたことを示しています。開発の現場では、依存ライブラリの更新を迅速化するほど生産性は上がりますが、その一方で悪性版を取り込むリスクも高まります。そのため今後は、すべての更新を遅くするのではなく、公開直後の版に対する短い待機期間、異常依存の検知、ビルド時の外部通信監視、重要トークンの短命化といった、現実的な防御策を重ねることが必要になります。特に経営層は、本事案を「OSS(オープンソースソフトウェア)利用の危険性」と短絡的に考えるべきではありません。OSSは現代開発の基盤であり、排除は現実的ではありません。問われるのは、OSSを使う前提でどう監視し、どう公開フローを信頼し、どう侵害時に被害を限定するかということです。Axiosのサプライチェーン攻撃は、その問題を開発部門だけでなく、情シス、CSIRT、監査、経営まで広げた事件として位置づけるべきでしょう。

    まとめ

    Axiosのサプライチェーン攻撃は、2026年3月31日に発生したnpm改ざん事案であり、axios@1.14.1とaxios@0.30.4に悪性依存関係plain-crypto-js@4.2.1が混入していました。インストール時のpostinstallでクロスプラットフォームのRAT(Remote Access Trojan)配布が行われる構造で、影響判定の中心は「使ったかどうか」ではなく、その時間帯にその版を取得したかどうかです。もし該当版を導入していれば、パッケージの入れ替えだけで済ませず、開発端末やCI環境を侵害前提で調査し、認証情報のローテーションまで含めて対応する必要があります。今回の事件は、npm、JavaScript、依存関係管理の問題、そしてサプライチェーン攻撃対策を考えるうえで、2026年を代表するケースの一つになるでしょう。


    サイバーインシデント緊急対応

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2026年4月10日(水)14:00~15:00
    ランサムウェア時代のIT-BCP入門~サイバー攻撃によるシステム停止に備える実践的な策定ステップ~
  • 2026年4月15日(水)14:00~15:00
    AI時代のサイバー脅威最前線 ― IPA『情報セキュリティ10大脅威2026』から学ぶ防御戦略 ―
  • 2026年4月22日(水)14:00~15:00
    Swift CSCF v2026変更点解説セミナー ― Control 2.4 (Back Office Data Flow Security)の必須化とCustomer client connectorへの要件適用拡大 ―
  • 最新情報はこちら

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像