ニュース分析

2026年4月第2週| 自動車サプライヤー様向けPSIRT週報

事前確認

候補トピック件数は 17件、採用件数 / 除外件数は 14件 / 3件 でした。

  • KEV追加:Ivanti EPMM、FortiClient EMS、Adobe Acrobat/Reader、Microsoft Exchange / SharePoint / Windows / Office 系を中心に計10件。
  • 基盤OSS:wolfSSL 5.9.1 で証明書検証・DTLSまわりの重要修正が公開。
  • 車載OS:Android Security Bulletin が v1.1 更新となり、AOSP パッチリンクが出揃いました。

エグゼクティブサマリー

今週(JST 2026-04-08〜04-14)は、CISA KEV 追加が一気に増え、「外部公開資産」と「日常的に使われるクライアント」を“既に悪用される前提”で再点検する週になりました。KEV は古い CVE にも付くため、CVSS の高さだけでなく、外部露出、権限、更新速度、監視・封じ込め可能性を踏まえて優先度を決める必要があります。

  • 管理基盤の P1 案件が集中
    Ivanti EPMM と FortiClient EMS は、侵害時の横展開範囲が広く、端末・証明書・配布経路まで波及し得るため最優先です。
  • Acrobat/Reader、Exchange、SharePoint も高緊急度
    PDF・メール・ポータルはサプライヤー業務の基盤であり、実悪用や KEV 追加がそのまま業務継続リスクに直結します。
  • AOSP と wolfSSL は継続監視テーマ
    Android Bulletin v1.1 でパッチ差分評価が進めやすくなり、wolfSSL 5.9.1 は証明書検証・DTLS の修正を SBOM で追うべき週でした。

今週の主要ニュース比較表

公開日(JST) 対象 内容 識別子 技術深刻度 対応優先度 自動車への関係 推奨アクション
2026-04-08 Ivanti
Endpoint Manager Mobile (EPMM)		 4 KEV追加:EPMMの未認証RCE(コードインジェクション) CVE-2026-1340 CVSS 3.1 9.8 Critical P1 端末管理侵害から社内横展開、証明書資産・開発端末へ波及 外部露出確認、緊急パッチ/緩和、ログ/IOC確認、資格情報棚卸し
2026-04-13 Fortinet
FortiClient EMS		 4 KEV追加:管理IFに対する未認証SQLi(PoC参照あり) CVE-2026-21643 CVSS 3.1 9.8 Critical P1 管理基盤侵害から端末・ネットワーク制御、供給網へ波及 影響Ver確認、修正版へ更新、管理IF遮断/制限、侵害痕跡点検
2026-04-11/12 Adobe
Acrobat/Reader		 4 セキュリティアップデート公開。CVE-2026-34621 は実悪用認識、CVSS見直し更新あり CVE-2026-34621
CVE-2020-9715		 CVE-2026-34621: 8.6 High P1 仕様書PDFや調達文書の処理経路が広く、端末展開規模も大きい 管理配布で一斉更新、怪しいPDF隔離、サンドボックス運用確認
2026-04-13 Microsoft
Exchange Server		 4 KEV追加:デシリアライズ起因とされる脆弱性 CVE-2023-21529 CVSS 3.1 8.8 High P1 メール基盤侵害は説明責任・委託先連携・開発環境へ影響大 露出確認、更新、監視・インシデント手順の即時点検
2026-04-14 Microsoft
SharePoint Server		 4 KEV追加:SharePoint の spoofing / 入力検証問題 CVE-2026-32201 CVSS 3.1 6.5 Medium P1 パートナーポータルや共有基盤として外部公開されがち 公開有無確認、緊急更新、WAF/アクセス制御再確認
2026-04-13/14 Windows / Office 4 KEV追加:Windows EoP 2件+Office/VBA系2件 CVE-2023-36424
CVE-2025-60710
CVE-2012-1854
CVE-2009-0238		 7.8 High〜8.8 High P2–P3 開発端末、受領文書、ビルド環境への侵入導線 例外端末含む適用率監視、マクロ/添付制御、EDR見直し
2026-04-08–04-09 AOSP
April 2026 Bulletin v1.1		 3 v1.1 で AOSP パッチリンクを付与。Framework Critical DoS などを評価可能に CVE-2026-0049
CVE-2025-48651		 重大度ラベル Critical / High P2 IVI/デジタルコックピットの AOSP 分岐に直撃 パッチレベル、採用品差分、OEM説明用影響整理
2026-04-08–04-13 wolfSSL
5.9.1		 3 証明書検証・DTLS を含む多数修正 CVE-2026-5194
CVE-2026-5264
CVE-2026-5263		 CVSS 4.0 9.3 / 8.3 / 7.0 P2 TCU、ゲートウェイ、診断通信の TLS/DTLS に波及しうる SBOM照合、利用箇所特定、SDK/ファーム更新計画に反映

優先度 Top 5

1位

Ivanti EPMM(CVE-2026-1340)

KEV追加済みでEPSSも高く、今週中の外部露出確認と更新判断が必須です。MDM侵害は端末群・認証情報・業務アプリ配布へ横展開しやすく、管理基盤の中でも優先順位が最上位です。

2位

FortiClient EMS(CVE-2026-21643)

未認証SQLi、CVSS 9.8、KEV入り、PoC参照ありという条件が揃っており、攻撃者コストが下がりやすい案件です。管理IFの露出とパッチの適用を最短で確認すべきです。

3位

Adobe Acrobat/Reader(CVE-2026-34621 / CVE-2020-9715)

Adobeが実悪用認識を明記し、期間内に Bulletin 更新も入っています。対象端末が広く、更新遅延がそのままリスクになるため、管理配布の進捗監視を含めて優先対応が必要です。

4位

Microsoft SharePoint(CVE-2026-32201)

CVSS は 6.5 でも KEV 入りであり、外部公開されがちな SharePoint は“中程度CVSSでもP1”の典型です。公開範囲と更新状況の即時棚卸しが必要です。

5位

Microsoft Exchange(CVE-2023-21529)

KEV入りに加えEPSSも高く、メール基盤という性質上、侵害時の説明責任と影響範囲が大きい案件です。委託先・顧客連携まで見据えて優先対応に置くべきです。

個別解説

Ivanti EPMM(CVE-2026-1340)

  • 公開/更新日:2026-04-08(KEV Date Added)
  • :4(バックエンド / 運用基盤)
  • 深刻度:CVSS 3.1 9.8 Critical / KEV 該当 / EPSS 高水準

なぜ重要か: EPMM はモバイル端末管理の要所であり、侵害されると端末群、証明書、VPN設定、社内アプリ配布基盤へ波及し得ます。車載サプライヤーでは、開発・検証・フィールド支給端末の管理基盤になっている可能性があり、横展開の起点として危険です。

【今週の推奨アクション】 外部公開管理API/コンソールの有無を即時確認し、該当バージョンの更新可否を週内に確定。あわせて管理者資格情報、トークン、異常API呼び出しログを重点確認します。

FortiClient EMS(CVE-2026-21643)

  • 公開/更新日:2026-04-13(KEV Date Added)
  • :4(バックエンド / 運用基盤)
  • 深刻度:CVSS 3.1 9.8 Critical / KEV 該当 / PoC 参照あり

なぜ重要か: FortiClient EMS は端末管理・セキュリティ運用の中枢です。管理 IF が侵害されると、設定配布、ソフト配布、監視無効化などを通じて、開発拠点や CI、証明書管理まで“踏み台化”されるリスクがあります。

【今週の推奨アクション】 管理IFの到達性を即時確認し、該当バージョンは修正版へ更新。更新前後で管理ログや Web ログを確認し、必要に応じて管理者アカウントとキー類のローテーションを行います。

Adobe Acrobat/Reader(CVE-2026-34621 / CVE-2020-9715)

  • 公開/更新日:APSB26-43 は 2026-04-11 公開、2026-04-12 更新。KEV 追加は 2026-04-13。
  • :4(端末群の更新運用)
  • 深刻度:CVE-2026-34621 は 8.6 High。Adobe が実悪用を認識。

なぜ重要か: PDF は仕様書、調達文書、監査資料などで日常的に流通し、サプライヤー境界を跨ぎます。展開台数が多く更新遅延も起きやすいため、ゼロデイ・実悪用系は「更新運用の強さ」がそのままリスク差になります。

【今週の推奨アクション】 管理配布による一斉アップデート、PDF を扱う業務端末の更新遅延率可視化、不審 PDF の隔離手順の再確認、ベンダー一次情報の更新監視ルール見直しを優先します。

Microsoft Exchange / SharePoint

  • Exchange:CVE-2023-21529、KEV Date Added 2026-04-13、CVSS 8.8 High
  • SharePoint:CVE-2026-32201、KEV Date Added 2026-04-14、CVSS 6.5 Medium
  • :4(バックエンド / 更新 / ビルド基盤)

なぜ重要か: メールとポータルは委託先・顧客・OEM と繋がる境界面であり、侵害時の事業影響と説明責任が大きい領域です。SharePoint のように CVSS が中程度でも KEV 入りした時点で、実運用上は P1 に引き上げるべきケースがあります。

【今週の推奨アクション】 Exchange / SharePoint の外部到達性を FW / WAF / リバプロ込みで棚卸しし、パッチ適用状況を例外サーバーまで含めて確認。監視強化と OEM / 顧客向け説明テンプレ更新も同時に進めます。

Windows / Office 系

今週は Windows EoP 2件と Office / VBA 系 2件が KEV に追加され、「古い CVE でも実運用では急に燃える」ことが改めて可視化されました。

  • CVE-2023-36424 / CVE-2025-60710:Windows EoP。侵入後の権限昇格チェーンで使われ得るため P2 相当。
  • CVE-2012-1854 / CVE-2009-0238:Office / VBA 系。古いが残存資産がある現場では優先度が急上昇。

【今週の推奨アクション】 製造ライン端末、検証端末、隔離ネット端末を含めた適用率可視化と、マクロ / 添付ファイル制御、EDR 検知ルールの棚卸しを行います。

Android Security Bulletin / wolfSSL

Android Security Bulletin April 2026(v1.1)

v1.1 で AOSP パッチリンクが揃い、AOSP 派生を持つ車載案件では「CVE番号」ではなく、パッチ差分、統合計画、OEM 説明へ落とし込める段階に入りました。CVE-2026-0049 と CVE-2025-48651 は取り込み可否を明示すべき代表例です。

wolfSSL 5.9.1

CVE-2026-5194、CVE-2026-5264、CVE-2026-5263 など、証明書検証と DTLS に関わる修正が入りました。TCU、ゲートウェイ、診断、OTA など TLS / DTLS 利用箇所を SBOM で洗い出し、更新可否と VEX 方針を早期に固めるべきです。

今週のトレンドとタイムライン

KEV 追加が 10 件と集中し、「実悪用が確認された脆弱性の運用優先度を押し上げる週」でした。主戦場は層4、つまり MDM、管理コンソール、メール、ポータル、Windows 端末などの運用基盤に偏っており、車載ソフトそのものよりも「開発・運用の土台」を狙う攻撃面が目立ちました。

一方で、層3では Android Bulletin v1.1 による AOSP 差分評価の前進と、wolfSSL 5.9.1 の証明書検証・DTLS 修正が重要でした。加えて、Adobe CVE-2026-34621 のように KEV 入り・実悪用認識にもかかわらず EPSS が低い例があり、CVSS / EPSS だけで切らず、KEV・実悪用・露出資産で優先度を決める運用が必要です。

公開・更新タイムライン(第2週)

timeline title 2026-04-08〜2026-04-14 主要公開・更新フロー 2026-04-08 : Ivanti EPMM KEV追加 : Android Security Bulletin AOSPリンク追記更新 2026-04-09 : wolfSSL 脆弱性(CVE-2026-5194)NVD公開 2026-04-11 : Adobe Acrobat/Reader 0-day NVD公開 2026-04-13 : FortiClient EMS KEV追加 : Adobe Acrobat/Reader KEV追加 : Microsoft 旧CVE群(Windows/Exchange等)KEV追加 2026-04-14 : SharePoint KEV追加 & 更新KB公開

PSIRT向け To-Do(今週のアクション)

SharePoint / Exchange / FortiClient EMS / Ivanti EPMM の外部公開資産を棚卸しし、到達性まで含めて今週の P1 対象を確定する。
P1 対象は「更新できるか」ではなく「いつまでに更新するか」で管理し、例外申請テンプレ(更新不可理由、暫定緩和、期限)を整備する。
Adobe Acrobat/Reader は SCCM / Intune 等の配布経路で更新進捗を可視化し、滞留端末やオフライン端末の扱いを決める。
Windows / Office の KEV 追加を受け、開発端末・検証端末・製造/試験エリア端末を含む例外端末群の更新監視と EDR ルール見直しを行う。
Android Bulletin v1.1 を起点に、CVE-2026-0049 / CVE-2025-48651 の取り込み計画を PM / 品質と合意し、自社フォークとの差分評価を進める。
wolfSSL は SBOM で利用有無を即時判定し、TLS / DTLS 利用箇所ごとに更新可否と影響範囲を分類する。
KEV 追加された古い CVE を踏まえ、最低 OS / Office 世代と残存理由を整理し、VEX や顧客説明資料へ反映する。
一次情報の Last updated / 改訂履歴 を監視対象に加え、ベンダー側の CVSS 修正や補足更新を見落とさない運用へ切り替える。

別紙C:候補一覧と採否判断ログ(TSV)

本レポート作成時に収集した候補一覧と採否判断ログです。
以下のボックス内はTSV(タブ区切り)形式なので、そのまま表計算ソフトへ貼り付けて管理用に利用できます。 

候補ID	公開日/更新日(JST)	対象	層	トピック要約	採用可否	判断理由	一次情報URL	備考
C-001	2026-04-08	Ivanti Endpoint Manager Mobile (EPMM)	4	未認証RCEがKEV追加	採用	KEV・CVSS 9.8・EPSS高で管理基盤侵害の影響大	https://nvd.nist.gov/vuln/detail/CVE-2026-1340	EPSS 0.67824 (2026-04-14)
C-002	2026-04-13	FortiClient EMS	4	未認証SQLiがKEV追加、PoC参照あり	採用	KEV・PoC・管理IF露出リスクが大きい	https://fortiguard.fortinet.com/psirt/FG-IR-25-1142	NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-21643
C-003	2026-04-11/12	Adobe Acrobat/Reader	4	APSB26-43公開、CVE-2026-34621実悪用認識	採用	一次情報更新が期間内、大規模端末に影響	https://helpx.adobe.com/security/products/acrobat/apsb26-43.html	CVE-2026-34621 / CVE-2020-9715
C-004	2026-04-13	Microsoft Exchange Server	4	CVE-2023-21529がKEV追加	採用	メール基盤は侵害起点になりやすく説明責任も大きい	https://nvd.nist.gov/vuln/detail/CVE-2023-21529	EPSS 0.58919 (2026-04-14)
C-005	2026-04-14	Microsoft SharePoint Server	4	CVE-2026-32201がKEV追加	採用	CVSS中でもKEV入りで外部公開資産に該当しやすい	https://nvd.nist.gov/vuln/detail/CVE-2026-32201	公開有無の確認が最優先
C-006	2026-04-13/14	Windows / Office	4	Windows EoP 2件、Office/VBA系2件がKEV追加	採用	例外端末や古い資産で急に燃える類型	https://nvd.nist.gov/vuln/detail/CVE-2023-36424	CVE-2025-60710 / CVE-2012-1854 / CVE-2009-0238 も対象
C-007	2026-04-08/09	Android Security Bulletin April 2026 v1.1	3	AOSPパッチリンク追加	採用	車載AOSP案件の差分評価とOEM説明材料になる	https://source.android.com/docs/security/bulletin/2026/2026-04-01	CVE-2026-0049 / CVE-2025-48651
C-008	2026-04-08/13	wolfSSL 5.9.1	3	証明書検証・DTLSを含む多数修正	採用	SBOM照合とTLS/DTLS利用箇所の特定が必要	https://github.com/wolfssl/wolfssl/releases	CVE-2026-5194 / CVE-2026-5264 / CVE-2026-5263
C-009	2026-04-14	Apache APISIX	4	平文HTTPログ転送	除外	車載との関係説明が弱く今週の優先度は下げる	https://nvd.nist.gov/vuln/detail/CVE-2026-31924	自社利用時のみ再評価
C-010	2026-04-14	Apache APISIX	4	ヘッダインジェクション	除外	同上	https://nvd.nist.gov/vuln/detail/CVE-2026-31908	自社利用時のみ再評価
C-011	2026-04-13	旅行予約サービス報道	4	漏えい報道(二次情報)	除外	一次情報中心の週報方針に合わない	https://techjacksolutions.com/scc-intel/booking-com-breach-exposes-reservation-pii-enables-targeted-phishing-campaigns/	補足ニュース扱い
C-012	2026-04-14	産業制御系開発環境	1/4	製品更新情報	除外	セキュリティ一次情報が確認できない	https://www.codesys.com/	security advisory確認時のみ対象

参考URL一覧(一次情報優先)

  • https://nvd.nist.gov/vuln/detail/CVE-2026-1340
  • https://fortiguard.fortinet.com/psirt/FG-IR-25-1142
  • https://nvd.nist.gov/vuln/detail/CVE-2026-21643
  • https://helpx.adobe.com/security/products/acrobat/apsb26-43.html
  • https://nvd.nist.gov/vuln/detail/CVE-2026-34621
  • https://nvd.nist.gov/vuln/detail/CVE-2020-9715
  • https://nvd.nist.gov/vuln/detail/CVE-2023-21529
  • https://nvd.nist.gov/vuln/detail/CVE-2026-32201
  • https://nvd.nist.gov/vuln/detail/CVE-2023-36424
  • https://nvd.nist.gov/vuln/detail/CVE-2025-60710
  • https://nvd.nist.gov/vuln/detail/CVE-2012-1854
  • https://nvd.nist.gov/vuln/detail/CVE-2009-0238
  • https://source.android.com/docs/security/bulletin/2026/2026-04-01
  • https://github.com/wolfssl/wolfssl/releases
  • https://nvd.nist.gov/vuln/detail/CVE-2026-5194
  • https://nvd.nist.gov/vuln/detail/CVE-2026-5264
  • https://nvd.nist.gov/vuln/detail/CVE-2026-5263
  • https://api.first.org/data/v1/epss

自社開発環境・運用NWの「供給網リスク」を評価しませんか?

エンドポイント管理基盤の侵害から、OTAや署名鍵へ被害が波及するリスクが高まっています。製品脆弱性だけでなく、サプライチェーンを支えるインフラの脆弱性管理・防御体制の構築をご相談いただけます。

【無料】オンライン相談を予約する