日本発のサイバーセキュリティ企業Trend Micro(トレンドマイクロ)は2026年5月21日、エンタープライズ向けエンドポイントセキュリティプラットフォーム「Apex One」のオンプレミス版に存在するゼロデイ脆弱性「CVE-2026-34926」に対するセキュリティアップデートを公開しました(Trend Micro公式セキュリティバレティン KA-0023430)。
同社自身のインシデントレスポンス(IR)チームがこの脆弱性を発見しており、実際の攻撃での悪用を少なくとも1件確認しています。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は同日(5月21日)、CVE-2026-34926を既知の悪用脆弱性カタログ(KEV)に追加し、連邦政府機関に対して6月4日までのパッチ適用を命じています。
目次
この記事のサマリー
- CVE番号:CVE-2026-34926
- CVSS v3.1スコア:6.7(Medium)
- 脆弱性の種類:ディレクトリトラバーサル(CWE-23)
- 影響製品:Apex One オンプレミス版のみ(SaaS版・Apex One as a Service・TrendAI Vision One Endpoint Security – Standard Endpoint Protectionは別途対応済み)
- 攻撃の前提条件:ローカルアクセス+Apex Oneサーバーへの管理者認証情報の取得(別途の方法での取得が必要)
- 攻撃の影響:サーバー内のキーテーブルを改ざんし、接続されている全エンドポイントエージェントに悪性コードを配布できる
- 発見者:TrendAI自身のインシデントレスポンスチーム
- 実攻撃の確認:少なくとも1件の実際の悪用が確認済み
- パッチ公開日:2026年5月21日
- CISA KEV追加日:2026年5月21日
- FCEB機関の対応期限:2026年6月4日
- 同時修正のCVE:CVE-2026-34927〜34930・CVE-2026-45206〜45208(すべてCVSS 7.8の高重大度ローカル権限昇格)
影響を受けるバージョンと修正版
Apex One オンプレミス版(Windows)について、影響を受けるバージョンはApex One 2019(オンプレミス)全バージョンです。修正済みバージョンはCritical Patch Build適用後のバージョン(TrendAIダウンロードセンターから入手可能)です。
Apex One as a Service・TrendAI Vision One Endpoint Security – Standard Endpoint Protection(SaaS版)については、エージェントビルド14.0.20731以降で修正済みです(エージェントビルド14.0.20731未満が影響を受けます)。
組織が取るべき対応
即時のパッチ適用として、オンプレミス版Apex Oneを使用している場合は、TrendAIが提供するCritical Patchを直ちに適用してください。SaaS版はエージェントビルド14.0.20731以降であることを確認してください。
Apex Oneサーバーへのローカルアクセス制限として、Apex Oneサーバーへのアクセスを最小権限の原則に基づいて制限し、管理者アカウントへのMFAを徹底してください。
インシデント発生の有無の確認として、Apex Oneサーバーのログを確認し、不審なファイル変更・サーバーテーブルの改ざんの痕跡がないかを確認してください。
脆弱性の詳細—「防衛インフラを武器に変える」攻撃
CVE-2026-34926の仕組み
Trend Microの公式セキュリティバレティンによれば、CVE-2026-34926はApex Oneオンプレミスサーバーのディレクトリトラバーサル(パストラバーサル)脆弱性です。攻撃者はファイルパスを意図されたディレクトリ境界外へ操作することで、サーバー内のキーテーブルにアクセスし改ざんを行えます。
「Apex Oneオンプレミスサーバーのディレクトリトラバーサル脆弱性により、事前認証済みのローカル攻撃者がサーバー上のキーテーブルを改ざんし、影響を受けるインストール上のエージェントに展開する悪性コードを注入できる可能性がある」とTrend Microは説明しています(BleepingComputer)。
この脆弱性の最も危険な側面は、攻撃者が企業のエンドポイントセキュリティのインフラ自体をマルウェア配布の手段として悪用できる点にあります。Apex Oneは企業内の多数のエンドポイントを一元管理するプラットフォームであるため、サーバーへの侵害が成功すると管理下の全エージェントに悪性コードが配布される可能性があります。
攻撃の前提条件
TrendAI(Trend Microのエンタープライズ部門)は「この脆弱性はApex Oneのオンプレミス版でのみ悪用可能であり、潜在的な攻撃者はまずApex Oneサーバーへのアクセスを持ち、かつ何らかの別の方法でサーバーへの管理者認証情報を取得している必要がある」と明記しています。
前提条件があるとはいえ、SecurityWeekが指摘するように「このような条件は決して理論上の話ではなく」、APTグループや国家支援型の攻撃者にとっては現実的な攻撃経路です。Trend Microの脆弱性がAPTグループ(中国系と推定されるケースを含む)に悪用されてきた歴史を考えると、今回の事案も同様の高度な攻撃者による可能性が高いとSecurityWeekは分析しています。
同時修正される7件の高重大度脆弱性
今回のアップデートはCVE-2026-34926の修正にとどまらず、以下の7件の高重大度ローカル権限昇格脆弱性も同時に修正しています(いずれもCVSS v3.1: 7.8・TRAPA SecurityのLays氏がTrendAI Zero Day Initiative経由で報告)。
CVE-2026-34927〜34930はApex One/SEPエージェントのOrigin Validation Error(名前付きパイプ通信の検証不備)によるローカル権限昇格脆弱性です。CVE-2026-45206〜45208については詳細はバレティンを参照してください。
CISAのKEV追加と連邦機関への命令
CISAは2026年5月21日、CVE-2026-34926をKEVに追加しました(今回のKEV追加には別のアクティブ悪用脆弱性Langflowも含まれています)。
Binding Operational Directive(BOD)22-01に基づき、全Federal Civilian Executive Branch(FCEB)機関は6月4日までにApex Oneの脆弱性を修正するか、利用を停止することが求められています。CISAは「このような種類の脆弱性は悪意あるサイバーアクターにとって頻繁な攻撃ベクターであり、連邦エンタープライズに重大なリスクをもたらす」と警告しています。
なお、CISAのKEVカタログには現在CVE-2026-34926を含む合計12件のTrend Micro Apex関連脆弱性が掲載されています。
Apex Oneの悪用の歴史——繰り返されるゼロデイ
Apex Oneはセキュリティ製品でありながら、繰り返しゼロデイ攻撃の標的とされてきた経緯があります。2022年9月のCVE-2022-40139(実攻撃確認・ゼロデイ)、2023年9月のCVE-2023-41179(実攻撃確認・ゼロデイ)、2025年8月のCVE-2025-54948(RCE・実攻撃確認)に続き、今回が最新の事例となります。
参考情報(1次ソース)
- ITW SECURITY BULLETIN: Apex One and Vision One – Standard Endpoint Protection (SEP) May 2026 Security Bulletin(Trend Micro公式・2026年5月21日)KA-0023430
- CISA Adds Two Known Exploited Vulnerabilities to Catalog(CISA・2026年5月21日)
- Trend Micro warns of Apex One zero-day exploited in the wild(BleepingComputer・2026年5月22日)
- TrendAI Patches Apex One Zero-Day Exploited in the Wild(SecurityWeek)
- CISA Adds Exploited Langflow and Trend Micro Apex One Vulnerabilities to KEV(The Hacker News)
- 【関連記事】サイバー攻撃とは——定義・種類・対策を専門家が解説【2026年最新】
- 【関連記事】2025〜2026年 サイバー攻撃・情報漏洩の最新事例まとめ








