独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月21日、トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・TrendAI Apex One(オンプレミス版)
サーバ:Build 17079より前
セキュリティエージェント:Agent Build 14.0.17079より前
・Trend Micro Apex One as a Service
サーバ:2026年4月のメンテナンスより前
セキュリティエージェント:Agent Build 14.0.20731より前
・TrendAI Vision One Endpoint Security - Standard Endpoint Protection
サーバ:2026年4月のメンテナンスより前
セキュリティエージェント:Agent Build 14.0.20731より前
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・Apex Oneサーバにおける相対パストラバーサル(CVE-2026-34926)
→ Apex Oneサーバに管理者権限でアクセス可能な攻撃者によってサーバ上のファイルを改ざんされ、結果として細工したコードをセキュリティエージェントに配布される
※TrendAI Apex One(オンプレミス版)でのみ悪用可能
・セキュリティエージェントにおけるオリジン確認エラー(CVE-2026-34927、CVE-2026-34928、CVE-2026-34929、CVE-2026-34930、CVE-2026-45206、CVE-2026-45207)
→セキュリティエージェントにアクセス可能な攻撃者によって、権限昇格される
・セキュリティエージェントにおけるTime-of-check Time-of-use(TOCTOU)競合状態(CVE-2026-45208)
→セキュリティエージェントにアクセス可能な攻撃者によって、権限昇格される
トレンドマイクロでは既にTrendAI Apex One(オンプレミス版)にて、相対パストラバーサルの脆弱性(CVE-2026-34926)を悪用した攻撃を確認しており、JPCERT/CCでは、早期にパッチ適用などの対応を行うことを推奨している。
JVNでは、開発者が提供する情報をもとにパッチを適用するよう呼びかけている。なお、開発者は本脆弱性の対策として下記のパッチをリリースしている。
・TrendAI Apex One(オンプレミス版)
サーバ:Service Pack 1 Critical Patch B18012
セキュリティエージェント:Agent Build 14.0.18012
・Trend Micro Apex One as a Service
サーバ:2026年4月のメンテナンスで修正済
セキュリティエージェント:Agent Build 14.0.20731
・Trend Vision One Endpoint Security - Standard Endpoint Protection
サーバ:2026年4月のメンテナンスで修正済
セキュリティエージェント:Agent Build 14.0.20731
