Trend Micro Apex Oneにディレクトリトラバーサル(CVE-2026-34926)— エージェントへ悪意コードを配布のおそれ
エンドポイント保護製品「Trend Micro Apex One(オンプレミス)」にディレクトリトラバーサルの脆弱性。事前認証済みのローカル攻撃者がサーバ上の鍵テーブルを改ざんし、配下のエージェントへ悪意あるコードを配布しうる。CISAは悪用確認済み(KEV)として掲載(CVSS 6.7 Medium)。
脆弱性の基本情報
- CVE番号CVE-2026-34926
- CVSS基本値6.7 MEDIUM
- CVSSベクタCVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:L
- 対象(ベンダー/製品)Trend Micro Apex One
- CWECWE-23
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-04(米連邦民生機関・BOD 22-01)
要点
CVE-2026-34926は、Trend Micro Apex One(オンプレミス版の企業向けエンドポイント保護〈EPP〉製品)に存在するディレクトリトラバーサル(CWE-23)の脆弱性だ。CISAのKEVカタログに2026年5月21日付で追加された。
NVDの説明によれば、事前認証済み(pre-authenticated)のローカル攻撃者が、サーバ上の鍵テーブル(key table)を改ざんして悪意あるコードを注入し、影響を受けるインストール環境の配下エージェントへ配布しうる。ローカルアクセスと高い攻撃条件を要するため成立の難度はあるが、本件が重要なのは「管理サーバから多数のエージェント(端末)へ悪意コードが波及しうる」点だ。
エンドポイント保護製品は、本来は端末を守る仕組みであり、その管理サーバが悪用されると「守りの要が攻撃の配布経路になる」ことになる。セキュリティ製品自体の脆弱性が悪用される近年の傾向を示す事例でもある。
【対応の要点】Trend Micro公式の指示に従って修正・緩和策を適用する。クラウド利用時はBOD 22-01に準拠。管理サーバへのアクセス制御の見直しと、不審なエージェント配布の点検も推奨される。連邦民生機関の是正期限は2026年6月4日。
なぜ重要か
エンドポイント保護(EPP)の管理サーバが、配下端末への悪意コード配布経路になりうる事例。セキュリティ製品を運用する組織は、製品自体の迅速な更新と管理サーバのアクセス制御が要点。「守りの要」を狙う攻撃の傾向を示す。
よくある質問(FAQ)
Apex Oneとは?
CVSSが中程度なのに重要なのですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。