今回公表された脆弱性のうち、最も警戒すべきはApex Oneサーバにおける相対パストラバーサルの脆弱性（CVE-2026-34926）です。これはオンプレミス版においてのみ悪用が可能となっています。

開発者によると、この脆弱性を悪用する攻撃が既に確認されています。CVSS基本値は3.1で6.7、4.0で4.9にとどまっていますが、実際の悪用が始まっているため数値以上の警戒が必要です。

この脆弱性が悪用された場合、Apex Oneサーバに管理者権限でアクセス可能な攻撃者によってサーバ上のファイルが改ざんされ、最悪の場合、細工された不正なコードがすべてのセキュリティエージェント（配下の端末）へ強制的に配布される恐れがあります。

影響を受けるのは、以下のトレンドマイクロ製エンドポイントセキュリティ製品です。サーバおよびエージェントの特定のビルド番号より前のバージョンが該当します。自社のシステムが以下に該当するかセルフチェックを行ってください。

• TrendAI Apex One（オンプレミス版）
  • サーバ：Build 17079 より前
  • エージェント：Agent Build 14.0.17079 より前
• Trend Micro Apex One as a Service（クラウド版）
  • サーバ：2026年4月のメンテナンスより前のバージョン
  • エージェント：Agent Build 14.0.20731 より前
• Trend Vision One Endpoint Security - Standard Endpoint Protection

また、今回は実攻撃こそ未確認なものの、悪用された際の影響が大きい以下の脆弱性も同時に公表されています。

ひとつは、セキュリティエージェントにおけるオリジン確認エラー（CVE-2026-34927など7件）です。こちらのCVSS基本値は3.1で7.8、4.0で8.5と高めになっています。もうひとつは、セキュリティエージェントにおけるTime-of-check Time-of-use（TOCTOU）競合状態（CVE-2026-45208）で、こちらもCVSS基本値は3.1で7.8、4.0で8.5をマークしています。

これらが悪用された場合、セキュリティエージェントにアクセス可能な攻撃者によって、システム内での権限を昇格される恐れがあります。

開発者からは、すでに修正パッチがリリースされています。運用の停止影響などを考慮しつつ、速やかな適用を強く推奨します。

• オンプレミス版の対策：サーバ用として「Service Pack 1 Critical Patch B18012」、エージェント用として「Agent Build 14.0.18012」が提供されています。これらを適用してください。
• クラウド版の対策：サーバ側は2026年4月のメンテナンスで修正済みです。エージェント側は「Agent Build 14.0.20731」以降が最新の修正バージョンとなるため、各端末への適用状況を確認してください。