まとめ・レポート調査

2026年6月 脆弱性トレンドまとめ — 日本の情シス向け月次レポート

今月、日本の現場で特に注意したい脆弱性の傾向と、情シスが取るべきアクションを1枚に整理。境界機器・ランサムウェア・サプライチェーンを中心にまとめます。

今月の要点

今月も、既知(n-day)脆弱性の未対応を突く攻撃が主要な侵入経路であり続けています。特にインターネットに露出する境界機器と、取引先・ソフトウェア部品を経由するサプライチェーンの2軸は、日本の現場でも継続して警戒が必要です。新しいゼロデイを追う前に、まず手元の既知リスクを塞ぐことが最短の防御になります。

  • 境界機器(SSL-VPN/UTM):管理画面の露出とEoL放置が引き続き狙われる
  • ランサムウェア:初期侵入から暗号化までが短時間化。バックアップの実効性が問われる
  • サプライチェーン:委託先・ソフトウェア部品経由の侵害が増加傾向
  • クラウド設定不備:公開範囲・権限の設定ミスによる情報露出

業界別の注意点

業界特に注意したい点
製造OT・レガシー資産と拠点間VPN。停止できない設備のパッチ計画と分離
金融委託先・API連携経由のリスクと、取引の異常検知・ログ監視
自治体・医療EoL機器の残存と、個人情報を扱う端末のアクセス制御
中小企業UTM1台依存の構成。MFA必須化と管理画面の露出排除

情シスの今月のチェックリスト

先月からの持ち越し課題(未適用パッチ・未棚卸しアカウント)を、今月こそ棚卸しに載せましょう。
  1. 公開資産の再棚卸し(インターネット公開機器・管理インターフェース)
  2. 緊急パッチ適用のSLAを保守契約で再確認する
  3. VPN・管理者アカウントのMFA適用状況を点検する
  4. 取引先・委託先のセキュリティ状況を確認する
  5. 不要・不明アカウントを削除する
  6. VPNログイン・設定変更のログ監視ルールを見直す

一次情報

個別の脆弱性への対応は、JPCERT/CCIPANISC の公開情報と、利用中ベンダーのセキュリティアドバイザリを起点に判断してください。World Security では、日本の現場に影響する脆弱性を今後も優先的にまとめます。

よくある質問

このレポートはどのくらいの頻度で出ますか?
月次での公開を予定しています。四半期ごとに、より広い傾向をまとめた総括レポートも配信します。
自社に当てはまるかどうやって判断すればよいですか?
「業界別の注意点」と「チェックリスト」を起点に、自社の公開資産・取引構成に照らして優先順位を付けてください。

出典

本記事は World Security 編集部による月次まとめレポートです。AI 執筆支援を用いた下書きを編集部が確認・編集しています。