Apex One, Apex One ゼロデイ, Trend Micro Apex One, Apex One 脆弱性, CVE-2026-34926, セキュリティソフト脆弱性, オンプレミスセキュリティ, エンドポイントセキュリティ, ゼロデイ攻撃, パッチ適用, 企業セキュリティ対策, ウイルス対策ソフト更新, サイバー攻撃対策, CISA KEV, セキュリティソフト最新状態

守るはずのソフトが穴になる？Apex One ゼロデイ問題を分かりやすく解説｜ピシコ

2026年5月23日｜セキュリティ・豆知識

⚠️ セキュリティ法人向け Windows ゼロデイ

店長より

「セキュリティソフトを入れているから安心」──その考え方、実はちょっと危ないんです。先日、企業向けのセキュリティソフトとして有名なTrend Micro Apex Oneに、パッチが当たる前から攻撃が始まっていた脆弱性が見つかりました。守るためのソフトが穴になる、という話です。

そもそも「Apex One」って何？

Apex One（アペックスワン）は、Trend Microが企業向けに提供しているエンドポイントセキュリティ製品です。「エンドポイント」というのは、社員が使っているパソコン1台1台のことで、それをまとめて管理・保護するシステムです。

中堅〜大企業の社内ネットワークでよく使われていて、ウイルス対策・不正アクセス検知・ランサムウェア対策などをまとめてカバーしてくれる、いわゆる「会社のセキュリティの要」です。個人用のウイルス対策ソフトとは違い、サーバーから社内の全パソコンを一元管理できる点が特徴です。

🖥️ イメージするなら──社内の全パソコンの状態を一か所で監視できる「セキュリティの司令塔」です。

今回、何が起きたの？

2026年5月、Trend MicroはCVE-2026-34926というコードが付けられたゼロデイ脆弱性を公表しました。

📌 今回の脆弱性、ざっくり言うと

1 どこに穴があるか：Apex Oneのオンプレミス版サーバー（社内に設置したサーバー）
2 何ができてしまうか：攻撃者がサーバー内のデータを改ざんして、社内の全パソコンに悪意のあるプログラムを送り込める
3 条件は：攻撃者がそのサーバーに管理者としてアクセスできる状態であること（リモートアクセス含む）
4 クラウド版は：影響なし。オンプレミス版（自社サーバー設置型）のみが対象

「ゼロデイ」というのは、修正パッチが公開される前から攻撃に使われていた、という意味です。つまり防ぎようがない状態で、すでに実害が出ていたということです。

⚠️ アメリカの国家機関CISA（サイバーセキュリティ・インフラセキュリティ庁）は、この脆弱性を「積極的に悪用されている」リストに追加し、連邦機関に対して6月4日までにパッチ適用を義務付けました。

「守るはずのソフトが穴になる」──これが問題の核心

ここが今回の話で一番重要なところです。

Apex Oneはセキュリティのために入れているはずのソフトです。なのに、そのApex Oneのサーバーが侵入口になって、社内の全パソコンにウイルスをばらまかれてしまう可能性がある。

なおかつ、司令塔が乗っ取られているわけですから、社員のパソコンには「正規の更新」として悪意のあるプログラムが届くかもしれない。ウイルス対策ソフト自体が、ウイルスの配送業者になってしまうわけです。

店長より

「セキュリティソフトが入っているから安心」というのは、鍵をかけているから安心、に似ています。でも鍵自体に欠陥があったら？という話ですよね。ソフトを入れること自体は正しいんですが、そのソフトも常に最新の状態に保つ必要がある、ということです。

実は毎年繰り返されている話

ちょっと驚くかもしれませんが、Apex Oneはここ数年、毎年のようにゼロデイ脆弱性が見つかっています。

2022年9月

CVE-2022-40139：実際の攻撃で悪用されたゼロデイ

2023年9月

CVE-2023-41179：同じく野良攻撃で悪用確認

2025年8月

CVE-2025-54948 / 54987：リモートでコード実行が可能な重大脆弱性。CSSVスコア9.4（10点満点）

2026年5月（今回）

CVE-2026-34926：ディレクトリトラバーサル脆弱性。攻撃が確認済み

CISAのデータベースには、Trend Micro Apex関連の脆弱性が12件「悪用済み」として記録されています。これだけの数が繰り返し狙われているということは、攻撃者にとってApex Oneを狙うことが「有効な手口」として定着してしまっているということです。

🔍 なぜ繰り返し狙われるのか
Apex Oneは管理サーバーから社内全パソコンに命令を出せます。ここを1か所乗っ取るだけで、社内全体に影響が及ぶ。攻撃者にとって「費用対効果」が高い標的なんです。

中国系ハッカーグループが関与している可能性も

今回の話で、もうひとつ気になるポイントがあります。

2025年8月に見つかった前の脆弱性（CVE-2025-54948）は、台湾が標的になっているケースが多く、中国系のAPT（高度な技術を持つハッカー集団）が関与している可能性が指摘されていました。

「APT」というのは国家やそれに準じる組織がバックにいる、プロ中のプロの攻撃者集団です。個人の愉快犯とは違い、特定の企業・政府機関・インフラを狙って、長期間かけて潜入する手口が特徴です。

⚡ 今回の脆弱性（CVE-2026-34926）についてTrend Microは攻撃者の詳細を公表していませんが、自社のインシデントレスポンスチームが実被害の調査をしていた中で発見されています。すでに誰かが踏み台にされていた、ということです。

「うちは関係ない」は本当？

今回の脆弱性、直接の対象は「Apex Oneのオンプレミス版を使っている企業」です。個人ユーザーや小規模なお店には直接関係ありません。

ただ、ここで考えてほしいのは「取引先や関係先が被害に遭ったらどうなるか」という視点です。

💬 こんな影響が連鎖することがある

! 取引先の会社から送られてくるメールが、知らずに感染したパソコンから届く
! 顧客情報を持つ企業が侵害され、自分の個人情報が流出する
! サプライチェーン攻撃として、下請け・発注元に被害が波及する

店長より

セキュリティのニュースって「大企業の話でしょ」と思いがちですが、実は「大企業が踏み台にされて、そこから中小企業に波及する」パターンが増えています。直接使っていなくても、頭の片隅に置いておくと良いと思います。

Apex Oneを使っている企業がすぐやること

もし職場でApex Oneを使っている、あるいは社内システムの管理をされている方がいれば、確認してほしいことを整理します。

1 オンプレミス版かどうかを確認する
クラウド版・SaaS版は今回の影響を受けません。自社サーバーに立てている場合のみ対象です。
2 Trend Microの公式アドバイザリを確認する
CVE-2026-34926のパッチが提供されているか確認し、適用済みかチェックします。
3 管理コンソールへのアクセス経路を見直す
外部から管理画面に直接アクセスできる状態になっていないか、ネットワーク設定を確認します。
4 社内のIT担当者・ベンダーに連絡する
「Apex Oneのパッチは当たってますか？」と一言確認するだけでも違います。

✅ クラウド版（Apex One as a Service）を使っている場合
Trend Micro側で対応済みのため、追加の対応は不要です。管理画面でバージョンを確認しておくと安心です。

まとめ：セキュリティソフトも「メンテナンス」が必要

今回の話をひとことでまとめると、「セキュリティソフトを入れたら終わりではない」ということです。

どんな製品にも穴は出てきます。大切なのは、穴が見つかったときに素早くふさぐこと。そのためには、普段から情報をチェックして、パッチ適用のサイクルを回し続けることが必要です。

パソコンや車と同じで、セキュリティも定期的なメンテナンスが欠かせません。「入れっぱなし」にしていると、ある日突然それが弱点になってしまいます。

店長より

「うちのパソコン、セキュリティソフト入ってるから大丈夫」と言う方によくお会いします。入っていること自体はとても大事です。でも、それが最新の状態になっているか、ちゃんと機能しているかも同じくらい大切なんですよね。個人のパソコンでも同じ話で、久しぶりに起動したら更新が何十個も溜まっている、なんてことはよくあります。気になったときがチャンスです。

📎 参考情報

BleepingComputer：Trend Micro warns of Apex One zero-day exploited in the wild

SecurityWeek：TrendAI Patches Apex One Zero-Day Exploited in the Wild

SecurityWeek（2025年8月版）：Trend Micro Patches Apex One Vulnerabilities Exploited in Wild

Qualys ThreatPROTECT：CVE-2025-54948 / CVE-2025-54987 解説

CISA KEV（既知の悪用脆弱性カタログ）：Known Exploited Vulnerabilities Catalog

パソコンのセキュリティが心配なら

「なんか最近おかしい」「セキュリティソフトの設定が合っているか不安」
そんなときはお気軽にご相談ください。まずはご相談から。

💬 LINEで相談する（無料）

月〜土 9:30〜19:00 受付｜苫小牧市のパソコン修理・サポートピシコ