ニュース分析

2026年4月第1週| 自動車サプライヤー様向けPSIRT週報

FortiClient EMS、OpenSSL、Android、Qualcomm、Mbed TLS の5テーマを軸に、 今週の PSIRT 実務で優先すべき判断と初動を整理します。

エグゼクティブサマリー

今週の注目は「車載と開発/運用の“暗号・鍵・更新”の境界面」に集中した。

  • エンドポイント管理基盤で悪用が観測された認証・認可バイパス(KEV追加)により、サプライヤーの開発端末・ビルド環境へ横展開されると署名鍵・ビルド成果物・OTA運用に二次被害が及ぶリスクが現実的になった。
  • Android系ではFrameworkのCritical DoSと、StrongBox(ハードウェア鍵保護)に関わるHigh案件が同時に提示され、デジタルキー/証明書/鍵管理観点でOEM説明に使える材料が増えた。
  • 暗号基盤OSSではOpenSSLが複数CVEをまとめて公表し、Mbed TLSでTLS 1.3再開に絡む「なりすまし」条件が明文化されたことで、mTLSやチケット再開を使う車載バックエンド/診断系は設定点検が必須となる。

加えてSoCベンダーの複数メモリ破壊系CVEは、IVI/ADAS側で「ローカル起点の権限昇格→安全系/プライバシー系への波及」を想定した優先順位付けが必要である。

今週の主要ニュース比較表

公開日(JST) 対象 識別子 重要度 自動車への関係
2026-04-04
04-06 KEV追加		FortiClient EMS4CVE-2026-35616最優先開発端末・運用NW侵害→ソフト供給網(署名鍵/OTA)へ波及
2026-04-07OpenSSL3CVE-2026-31790 ほか車載/バックエンドの暗号ライブラリ依存。鍵・証明書処理に直結
2026-04-06Android Security Bulletin3CVE-2026-0049
CVE-2025-48651		AAOS/IVIの脆弱性管理・OEM説明(鍵管理/信頼基盤)の材料
2026-04-06Qualcomm2CVE-2026-21378 ほか
※条件付き		IVI/ADAS等のSoC・ドライバ層。ローカル起点→権限昇格
2026-04-01Mbed TLS / TF-PSA-Crypto3CVE-2026-34873 ほか
※設計依存		mTLS/チケット再開利用時、バックエンド/診断の認証保証に影響

優先度 Top 5

1位

FortiClient EMS(CVE-2026-35616)

悪用観測とホットフィックス手順が明示され、KEV追加も確認できる。開発/運用ネットワークの侵害は、車載ECUそのものより先に「署名・配布・SBOM」などソフト供給網へ波及しやすい。

2位

Android Security Bulletin(CVE-2026-0049 / CVE-2025-48651)

StrongBoxは鍵保護・証明書・デジタルキー等と結びつきが強く、PSIRTがOEMへ「影響と対策計画」を説明する際の根拠になりやすい。

3位

Mbed TLS(CVE-2026-34873)

TLS 1.2/1.3併用+TLS 1.3チケット再開という“ありがちな設定”の組み合わせで、条件次第で認証保証が崩れる可能性が示された。

4位

OpenSSL(CVE-2026-31790)

RSA KEM(RSASVE)周辺での未初期化バッファ送出=情報漏えいがModerateとして提示され、更新先バージョンも明確である。

5位

Qualcomm(例:CVE-2026-21378/21380/21373)

ローカル起点のメモリ破壊は「悪性アプリ/侵害済みプロセス→権限昇格→車載機能・機密情報アクセス」に繋がりやすい。

個別解説

トピックA:FortiClient EMS(CVE-2026-35616)— 悪用観測・KEV追加

  • 公開/更新日:2026-04-04(一次公開)、2026-04-06(KEV追加)
  • :4(バックエンド/更新/ビルド基盤)
  • 深刻度:CVSS v3.1 9.8(Critical)※NVD表示。ベンダーCSAFではTemporalスコア相当で9.1。

なぜ重要か: 自動車サプライヤーにとって“製品の脆弱性”だけでなく、“開発・署名・配布を担う環境の侵害”はPSIRT運用を直撃する。攻撃者が端末管理基盤を足場にできると、SBOM生成基盤、CI/CD、成果物リポジトリ、署名鍵、OTA配布基盤へ横展開し、最終的にOEMへ説明すべき「供給網リスク」へ発展する。実務上は「情報収集」ではなく「緊急パッチ運用」として扱うべき。

推奨アクション: 利用有無の即時確認、ホットフィックス(7.4.5/7.4.6)即適用、管理系セグメントの到達制御見直し、侵害兆候確認、署名鍵の保全点検。

トピックB:OpenSSL(2026-04-07 Security Advisory)

  • 公開日:2026-04-07
  • :3(基盤OSS)
  • 識別子:CVE-2026-31790(Moderate)ほか

なぜ重要か: 車載ではTLS/証明書処理がTCU・ゲートウェイ・IVI等に広く入り込み、バックエンドでも依存が残る。CVE-2026-31790は設計によって「鍵交換・暗号化の境界面での情報漏えい」の扱いになる。FIPSモジュール影響の記載もあり、暗号コンプライアンス要件の確認に直結する。

トピックC:Android Security Bulletin(2026年4月)

  • 公開日:2026-04-06
  • :3(基盤OSS)
  • 識別子:CVE-2026-0049 (Critical DoS), CVE-2025-48651 (High)

なぜ重要か: AAOS/IVI派生を採用している場合、PSIRT実務は“CVE単体”よりも“パッチレベル基準”での管理がOEM説明に向く。特にStrongBoxはハードウェア鍵保護の土台であり、デジタルキーやOTA署名など「鍵に依存する車載機能」の波及評価に直結する。

トピックD:Qualcomm Security Bulletin(4月)

  • 公開日:2026-04-06
  • :2(上流の車載プラットフォーム/コンポーネント供給者)
  • 識別子:CVE-2026-21378 / 21380 / 21373 等(メモリ破壊系)

なぜ重要か: ローカル起点のメモリ破壊は、「悪性アプリ/侵害済みプロセス→権限昇格→車載機能・機密情報アクセス」の足場にされる。IVI/ADASはアプリ・ミドル層が複雑であり、ブラウザ等からの侵害がドライバ層に落ちる経路が現実的になりやすいため、SoCからのトリアージが実務的である。

トピックE:Mbed TLS / TF-PSA-Crypto

  • 公開日:2026-04-01(NVD公開ベース)
  • :3(基盤OSS)
  • 識別子:CVE-2026-34873 ほか

なぜ重要か: 車載バックエンドや診断ゲートウェイで「mTLS+チケット再開」を使う場合、設定依存で認証保証が崩れる(なりすまし)リスクがある。本件は成立条件と設定ベースの緩和策が書かれているため、「自社のTLS設定が該当するか」を短時間で切り分けできる。

今週のトレンドとタイムライン

今週の採用トピックは、層で見ると基盤OSS(層3)が最多で、暗号・鍵・認証に関する論点が中心だった。次いで、上流SoC(層2)のメモリ破壊(ローカル起点)が表面化しており、アプリ起点からの権限昇格を前提にした優先順位付けが必要。また、更新/運用基盤(層4)として“悪用観測+KEV追加”が確認でき、製品脆弱性だけでなく、供給網防衛に踏み込む必要性が強まった週と言える。

公開・更新タイムライン(第1週)

timeline title 2026-04-01〜2026-04-07 主要公開・更新フロー 2026-04-01 : Mbed TLS/TF-PSA-Crypto 複数CVEがNVD公開 2026-04-04 : FortiClient EMS 脆弱性公開(一次) 2026-04-06 : FortiClient EMS KEV(悪用確認)追加 : Android Security Bulletin 4月分 公開 : Qualcomm Security Bulletin 4月分 公開 2026-04-07 : OpenSSL Security Advisory 公開

PSIRT向け To-Do(今週のアクション)

FortiClient EMSの利用有無(委託先含む)と外部到達性のあるAPI露出を即時棚卸し、該当ならホットフィックス適用と到達制御を実施する。
OTA/コード署名/アーティファクト保管等に対し、「管理端末が侵害された場合」のキー保護・権限分離・監査ログ強化を点検する。
Android系(AAOS/IVI派生)の採用品目について、パッチレベル2026-04-05相当の取り込み計画を更新する。
StrongBox利用の有無(TEE/SE構成)を整理し、デジタルキー・証明書管理機能への影響評価テンプレに反映する。
Mbed TLS/TF-PSA-Cryptoの採用箇所をSBOMで洗い出し、TLS1.2/1.3併用+チケット再開+クライアント認証の有無を判定する。
Mbed TLSで該当条件が揃う場合、暫定策(チケット無効化等)をリスクと性能影響込みで運用判断材料に落とす。
OpenSSLの採用箇所で系列・FIPS有無を棚卸しし、該当する更新先へアップグレード計画を起票する。
Qualcomm系SoC採用製品について、採用品種と主要CVEを突合し、ベンダーパッチ受領状況と統合スケジュールを確認する。

付録データ:ニュース候補一覧と採否判断ログ(TSV)

本レポート作成時に収集したニュース候補の全リストと、採用・除外の判断理由です。
以下のボックス内はTSV(タブ区切り)形式のテキストになっています。コピーしてExcelやGoogleスプレッドシートのA1セルにそのまま貼り付けると、表として展開されます(管理用にご活用ください)。 

候補ID	公開日 / 更新日(JST)	対象	層	トピック要約	採用可否(採用 / 除外)	判断理由	一次情報URL	備考
C01	2026-04-04 公開; 2026-04-06 KEV追加	FortiClient EMS	4	API認証・認可バイパス。悪用観測・ホットフィックス案内・KEV追加(CVE-2026-35616)	採用	開発/運用基盤侵害が供給網(署名鍵/CI/CD/OTA)に波及するため最優先	https://fortiguard.fortinet.com/psirt/FG-IR-26-099	CVSSはNVD表示9.8(ベース)と、ベンダーCSAFの9.1(Temporal相当)の両方が参照可能
C02	2026-04-07 公開	OpenSSL	3	Security Advisoryで複数CVE公表。RSA KEMの情報漏えい(CVE-2026-31790, Moderate)ほかLow複数	採用	車載/バックエンド双方で暗号基盤として依存が広く、鍵・証明書運用に直結	https://openssl-library.org/news/secadv/20260407.txt	更新先(3.0.20等)が明示。CVSSは公式には未提示
C03	2026-04-06 公開(Bulletin)	Android Security Bulletin(4月)	3	Framework Critical DoS(CVE-2026-0049)とStrongBox High(CVE-2025-48651)を提示。パッチレベル2026-04-05で包含	採用	AAOS/IVIでパッチレベル基準の運用が可能。StrongBoxは鍵管理/デジタルキー/証明書に近い	https://source.android.com/docs/security/bulletin/2026/2026-04-01	Bulletinは2026-04-08にAOSPリンクで更新(ただし更新日自体は対象期間外)
C04	2026-04-06 公開	Qualcomm April 2026 Security Bulletin	2	4月Bulletinに紐づく複数CVEがNVDに登録(例:CVE-2026-21378/21380/21373/2025-47400等)。カメラ/ビデオ/IOCTL起因のメモリ破壊など	採用	IVI/ADAS/TCUのSoC・ドライバ層欠陥はローカル起点の権限昇格に繋がりやすい。上流確認が必須	https://docs.qualcomm.com/product/publicresources/securitybulletin/april-2026-bulletin.html	本調査環境でBulletin本文の抽出ができず、CVE/NVDベースで整理(詳細パッチ手順の確度は抑制)
C05	2026-04-01 NVD公開(重要更新扱い)	Mbed TLS / TF-PSA-Crypto	3	TLS 1.3再開の条件下でクライアントなりすまし(CVE-2026-34873)ほか、FFDH関連(CVE-2026-34875/34872)やTLS1.2ポリシーバイパス(CVE-2026-25834)	採用	車載バックエンド/診断でmTLS・チケット再開を使う場合、認証保証に影響(設定依存のためPSIRTが条件判定すべき)	https://mbed-tls.readthedocs.io/en/latest/security-advisories/	ベンダー文面の日付は2026-03-31が多いが、NVD公開/更新が期間内(週報対象として “表面化” しやすい)
C06	2026-04-07 公開	Pixel Update Bulletin(4月)	3	Pixel端末向けの追加修正情報	除外	スマホ端末固有で、車載製品・車載バックエンドへの直接影響を説明しにくい	https://source.android.com/docs/security/bulletin/pixel/2026/2026-04-01	補足としては有用だが本週報スコープ外
C07	2026-04-06 公開	Android XR Bulletin(4月)	3	XRプラットフォーム向けBulletin	除外	XRは車載影響の説明が難しく、優先度判断材料として弱い	https://source.android.com/docs/security/bulletin/xr/2026/2026-04-01	同月Android Bulletinへの参照が主
C08	2026-04-01 公開/KEV追加	Google Chrome(Dawn)	5	CVE-2026-5281がKEV追加(Dawn UAF、CVSS 8.8表示)	除外	一般ブラウザ案件で車載製品への直接波及が弱い(開発端末リスクとしては別枠管理が妥当)	https://nvd.nist.gov/vuln/detail/CVE-2026-5281	KEV追加日と期限がNVD上で確認可能
C09	2026-04-02 KEV追加	TrueConf Client	5	CVE-2026-3502(更新機構の整合性欠如)がKEV追加。更新経路改ざんでRCEの可能性	除外	TV会議用途が中心で、車載製品・車載バックエンドへの関連性が弱い	https://nvd.nist.gov/vuln/detail/CVE-2026-3502	KEV追加は期間内だが、CVE公開(NVD Published)は2026-03-30

参考URL一覧

  • https://fortiguard.fortinet.com/psirt/FG-IR-26-099
  • https://nvd.nist.gov/vuln/detail/CVE-2026-35616
  • https://openssl-library.org/news/secadv/20260407.txt
  • https://source.android.com/docs/security/bulletin/2026/2026-04-01
  • https://docs.qualcomm.com/product/publicresources/securitybulletin/april-2026-bulletin.html
  • https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2026-03-client-impersonation-while-resuming-tls13-session/
  • https://nvd.nist.gov/vuln/detail/CVE-2026-34873
  • https://nvd.nist.gov/vuln/detail/CVE-2026-34875

自社製品の「構成部品の脆弱性」を監視・管理できていますか?

公開された脆弱性情報が、自社のどの製品・バージョンに影響するのかを迅速に特定するには、SBOM連携と自動突合の仕組みが不可欠です。属人化を排除し、OEM対応のSLAを守るための脆弱性管理ツールのデモをご案内します。

【無料】オンライン相談を予約する