トレンドマイクロ製エンドポイントセキュリティ製品に複数脆弱性、一部で攻撃確認

脆弱性の概要と影響を受ける製品

JPCERT/CCは2026年5月21日、トレンドマイクロ製の企業向けエンドポイントセキュリティ製品に関する複数の脆弱性を公開しました。影響を受けるのは、TrendAI Apex One（オンプレミス版）、Trend Micro Apex One as a Service、Trend Vision One Endpoint Security - Standard Endpoint Protectionです。
これらの製品では、サーバとセキュリティエージェントの特定のビルド番号より前のバージョンが脆弱です。具体的には、オンプレミス版のサーバはBuild 17079より前、エージェントはAgent Build 14.0.17079より前が該当します。クラウド版は2026年4月のメンテナンスより前のサーバ、エージェントはAgent Build 14.0.20731より前が対象です。

確認された脆弱性の詳細と影響

今回公表された脆弱性は3種類あります。1つ目はApex Oneサーバにおける相対パストラバーサル（CVE-2026-34926）で、オンプレミス版のみで悪用可能です。CVSS基本値は3.1で6.7、4.0で4.9です。開発者によると、この脆弱性を悪用する攻撃が既に確認されています。
2つ目はセキュリティエージェントにおけるオリジン確認エラー（CVE-2026-34927など7件）で、CVSS基本値は3.1で7.8、4.0で8.5です。3つ目はセキュリティエージェントにおけるTime-of-check Time-of-use競合状態（CVE-2026-45208）で、CVSS基本値は3.1で7.8、4.0で8.5です。
想定される影響として、Apex Oneサーバに管理者権限でアクセス可能な攻撃者により、サーバ上のファイルが改ざんされ、細工されたコードがセキュリティエージェントに配布される可能性があります。また、セキュリティエージェントにアクセス可能な攻撃者によって権限が昇格される恐れがあります。

現時点での注意点

開発者は既にパッチをリリースしています。オンプレミス版にはサーバ用のService Pack 1 Critical Patch B18012とエージェント用のAgent Build 14.0.18012が提供されています。クラウド版は2026年4月のメンテナンスで修正済みであり、エージェントはAgent Build 14.0.20731が最新です。今回の公表では、CVE-2026-34926の悪用が確認されているものの、他の脆弱性に関する攻撃の有無や影響範囲の詳細は明らかにされていません。