今週(5/11〜5/15)はCVE合計3,433件(GHSA含む)が公開・更新され、Critical 123件・High 546件と件数・深刻度ともに高水準な週となりました。最大のインシデントは水曜日に発覚した *@tanstack/ サプライチェーン攻撃**で、84パッケージへのマルウェア混入が確認され、金曜日にも続報が入る2日連続の対応を迫られる事態となりました。Next.jsでも火曜・木曜と合計25件超の一括セキュリティ修正がリリースされ、多くのフロントエンドチームが対応に追われた週でもあります。また木曜日には日本企業向けGUARDIANWALL MailSuiteへの悪用が確認(CVSS 9.8)され、JVN情報にも注意が必要な週でした。
週間サマリーテーブル
| 指標 | 月 5/11 | 火 5/12 | 水 5/13 | 木 5/14 | 金 5/15 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE/アドバイザリ | 171件 | 471件 | 1,977件 | 614件※ | 200件 | 3,433件 |
| Critical | 14 | 27 | 6 | 63 | 13 | 123件 |
| High | 34 | 102 | 61 | 258 | 91 | 546件 |
| Medium | 85 | 66 | 116 | 243 | 88 | 598件 |
| Low | 15 | 4 | 4 | 20 | 8 | 51件 |
※ 5/14はGHSAアドバイザリベースの件数。NVD件数とは計上基準が異なります。
注目脆弱性 TOP5
1. @tanstack/* サプライチェーン攻撃 — CVE-2026-45321
- CVSSスコア: 9.6(Critical)/ CWE-506(悪意あるコードの埋め込み)
- 影響: @tanstack/react-router, @tanstack/query など42パッケージ・84バージョン
- 掲載日: 2026-05-13(初報)・2026-05-15(続報)
- 概要: TanStackの公式npmパッケージに対するサプライチェーン攻撃。悪意あるバージョンをインストールすると、クラウド認証情報(AWS等)・GitHubトークン・SSH秘密鍵が外部サーバーへ送信されます。React/Vue/Solidアプリケーションで広く使われるライブラリのため、影響範囲が非常に広い可能性があります。
- 対策:
package-lock.json/yarn.lockで影響バージョンを使用していないか確認。修正バージョン(例: @tanstack/react-router 1.169.9以降)へアップデート。影響バージョンを使用していた場合はクレデンシャルの即時ローテーションが必要です。
2. Gotenberg ExifTool インジェクション — CVE-2026-40281
- CVSSスコア: 10.0(Critical)/ CWE-88(引数インジェクション)
- 影響: Gotenberg v8.30.1以前
- 掲載日: 2026-05-12
- 概要: Docker向けPDF生成APIのGotenbergで、メタデータ書き込みエンドポイントにExifToolの疑似タグを注入できる脆弱性。認証なしでコンテナ内の任意ファイルの上書き・移動・シンボリックリンク作成が可能です。
- 対策: v8.30.1以降のパッチを適用してください。
3. Veeam Backup & Replication RCE × 2 — CVE-2026-21669 / CVE-2026-21708
- CVSSスコア: 9.9(Critical)× 2件
- 影響: Veeam Backup & Replication(複数バージョン)
- 掲載日: 2026-05-11
- 概要: CVE-2026-21669は認証済みドメインユーザーからのコードインジェクション(CWE-94)、CVE-2026-21708はBackup ViewerからpostgresユーザーとしてのSQLインジェクション(CWE-89)による任意コード実行。バックアップ基盤の侵害はデータ復旧の最終防衛線を失うことを意味します。
- 対策: KB4830 / KB4831 を確認し、修正バージョンへアップデートしてください。
4. Next.js 一括セキュリティ修正(計25件超)
- CVSSスコア: 最大 8.6(SSRF: CVE-2026-44578)
- 影響: Next.js(App Router / Pages Router、セルフホスト環境)
- 掲載日: 2026-05-12(12件)・2026-05-14(13件)
- 概要: 火曜・木曜の2回にわたり、SSRF・Middlewareバイパス(認可バイパス)・DoS・XSS・キャッシュポイズニングと広範な修正がリリースされました。特にCVE-2026-44578(WebSocket経由SSRF)・CVE-2026-44574(動的ルートパラメータによるMiddlewareバイパス)は認可設計に影響します。Turbopack使用環境ではCVE-2026-45109の追加修正も必要です。
- 対策: Next.js 15.5.18 / 16.2.6 へアップデート(一部は15.5.16 / 16.2.5で修正済み)。
5. GUARDIANWALL MailSuite バッファオーバーフロー — CVE-2026-32661(悪用確認済み)
- CVSSスコア: 9.8(Critical)— 実際の攻撃が確認済み
- 影響: GUARDIANWALL MailSuite オンプレミス版
- 掲載日: 2026-05-14
- 概要: キヤノンマーケティングジャパン提供のGUARDIANWALL MailSuiteのpop3wallpasswdコマンドにスタックベースのバッファオーバーフロー。JVNに登録され、実際の悪用が確認されています。
- 対策: 開発元が提供する修正パッチを即時適用してください。
週間トレンド分析
サプライチェーン攻撃の脅威が顕在化
今週最大のトレンドは、npmエコシステムを標的にしたサプライチェーン攻撃の現実化です。@tanstack/* の事例(CVE-2026-45321)は水曜に初報が入り、金曜時点でも続報が続く2日間のインシデントとなりました。単一パッケージではなく、関連する42パッケージ全体が汚染されるという規模の大きさが特徴的です。lockfile管理と依存関係のモニタリングを改めて見直す機会といえます。
npmエコシステムへの集中
GHSAベースでは5日間を通じてnpmエコシステムの脆弱性が最多を記録しました(月: Next.js修正、水: @tanstack攻撃・Ghost SQLi、木: Next.js再修正・i18next系、金: @tanstack続報・n8n RCE)。フロントエンドおよびNode.jsバックエンドを運用する組織は、依存ライブラリの更新状況を継続的に確認することが求められています。
DevOps・自動化ツールへの脆弱性集中
ArgoCD(5/12、CVSS 9.6・Secret漏洩)、n8n(5/15、RCE 3件)、Portainer(5/15、Critical 2件)と、CI/CDパイプラインやコンテナ管理ツールの脆弱性が今週は特に目立ちました。これらはインフラへの広範なアクセス権を持つため、侵害時の影響が大きく、優先度高く対応することを推奨します。
CWEトレンド: 認可バイパス・インジェクション系が多数
今週はMiddlewareバイパス(Next.js複数件)・ACLバイパス(Dapr)・認可欠如(Portainer、Apache Artemis)と、認可制御の不備を突く脆弱性が複数登場しました。また、SQLインジェクション(Veeam/Ghost/LiteLLM)・引数インジェクション(Gotenberg)・SpELインジェクション(Spring AI)と、インジェクション系(CWE-88/89/94)も集中しています。
国内向け: JVN情報に特に注意
GUARDIANWALL MailSuite(悪用確認済み・CVSS 9.8)、エレコム製無線LANルーター(CVSS 9.8・OSコマンドインジェクション)と、国内向け製品・機器の深刻な脆弱性が今週は複数公開されています。これらはJVN iPediaでも情報が公開されており、国内企業での利用率が高い製品のため、優先的な確認を推奨します。
日別ダイジェスト
- 5/11(月): CVE 171件 — Veeam Backup CVSS 9.9のRCE 2件とSpring AI SpELインジェクション(9.8)が最深刻
- 5/12(火): CVE 471件 — Gotenberg CVSS 10.0、Next.js 12件一括修正、ArgoCD Secret漏洩(9.6)
- 5/13(水): CVE 1,977件 — @tanstack/* 84パッケージへのサプライチェーン攻撃が発覚・最大インシデント
- 5/14(木): GHSA 614件 — Next.js 13件一括修正、GUARDIANWALLの悪用確認(CVSS 9.8)
- 5/15(金): CVE 200件 — @tanstack攻撃続報、n8n RCE 3件、Portainer Critical 2件、Luanti CVSS 10.0
まとめ・来週の注目ポイント
今週はサプライチェーン攻撃という形でセキュリティリスクが可視化された週でした。@tanstack/* の事例は、信頼していたOSSパッケージが悪意ある改ざんを受けるという最悪のシナリオが現実に起きることを示しています。lockfileの完全管理とCI/CD上での整合性チェック(npm ciの活用等)は今後のスタンダードになるでしょう。Next.jsについても、今週2回の一括修正(計25件超)が示す通り、定期的なフレームワーク更新の習慣化が重要です。特にMiddlewareで認可ロジックを実装しているプロジェクトは、v15.5.18 / v16.2.6への更新を最優先に確認してください。
来週は今週の@tanstack攻撃の影響調査が続く可能性があります。また、Microsoft Patch Tuesdayの追加情報(SharePoint RCE・Windows Kernel EoP等)や、引き続きコンテナ/IaCツールの脆弱性開示が予想されます。CISA KEVカタログへの新規登録情報も合わせて継続監視することを推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。