Trend Micro Apex Centralに複数の脆弱性が発覚、注意喚起を公開（2026年1月）

Trend Micro Apex Centralに複数の脆弱性が発覚、注意喚起を公開（2026年1月）

2026年1月、トレンドマイクロはオンプレミス版「Trend Micro Apex Central」に関する重大な脆弱性情報を公開しました。複数の脆弱性（合計3件）が確認されており、これらを修正するCritical Patch Build 7190がリリースされています。この注意喚起は、未対応の場合にリモートからの攻撃を許す恐れがあるため、管理者に対し早急な対応を促すものです。ここでは、その脆弱性の概要や影響範囲、対策方法について詳しく解説します。

2026年1月、Trend Micro Apex Centralの複数の脆弱性に対処するアドバイザリが公開

トレンドマイクロは2026年1月7日、企業向け統合管理サーバ製品「Trend Micro Apex Central（オンプレミス版）」に関するセキュリティアドバイザリを公開しました。このアドバイザリでは、Apex Centralに新たに発見された複数の脆弱性に対処するアップデート情報が通知されています。脆弱性を悪用した攻撃を防ぐため、該当製品の利用者に対し注意喚起が行われています。

Apex Centralでは、認証不要で悪用可能、CVSS9.8のCriticalを含む三件の極めて深刻な脆弱性が判明

今回報告された脆弱性は全部で3件存在し、その中には認証無しで悪用可能なリモートコード実行（RCE）のCritical脆弱性（CVSS基本値9.8）を含みます。残る2件も含め、いずれも深刻度は非常に高く、攻撃者がネットワーク経由で細工したリクエストを送るだけで悪用できる点が特徴です。特にRCE脆弱性は対策を怠ると即座にシステム乗っ取りに繋がる危険があり、非常に重大です。

深刻度はすべてCVSS7.5以上（最高値9.8）で「Critical」および「High」に分類されている

3件の脆弱性はいずれもCVSS v3.1の基本値が7.5以上と評価されており、重要度は「High」から「Critical」に分類されました。最高スコアは9.8（Critical）で、情報機密性・完全性・可用性すべてに高い影響を与える深刻な欠陥です。残り2件もCVSS7.5（High）と評価されており、重大ではあるもののCriticalには至らないものの、決して無視できない高リスクな脆弱性です。

三件の脆弱性は2025年8月にTenable社が報告し、ベンダーと調整のうえ2026年1月に情報公開された

これらの脆弱性は外部のセキュリティ企業Tenable社によって発見・報告されました。2025年8月にTenable社がトレンドマイクロへ脆弱性を通知し、その後ベンダーと協力して対策の開発・検証がおこなわれました。調整の結果、2026年1月に公式なセキュリティ情報として一般に公開され、同時に修正パッチがリリースされた形です。発見から公開まで数ヶ月に及ぶ調整プロセスを経ており、報告者とベンダーの連携によって適切なタイミングで情報開示が行われました。

影響を受けるのはオンプレミス版Apex Central 2019の全バージョン (Build 7190未満)

今回の脆弱性情報で対象となっているのは、オンプレミス型で運用されているTrend Micro Apex Central 2019の全ビルドです。具体的にはCritical Patch Build 7190より前のすべてのバージョンが該当し、これらは脆弱性の影響を受けます。したがって、Build 7190未満で運用中のApex Central環境はすべてアップデートが必要です。

クリティカルなリモートコード実行（RCE）脆弱性 (CVE-2025-69258) の詳細と影響範囲

CVE-2025-69258は3件の中で最も深刻と位置付けられるリモートコード実行（RCE）の脆弱性です。この脆弱性はApex Centralにおけるライブラリ読み込み機能の欠陥に起因しており、適切な対策を講じないと遠隔の攻撃者にシステムを乗っ取られる恐れがあります。以下、この脆弱性の技術的な内容と影響について詳しく見ていきます。

CVE-2025-69258: LoadLibraryEXの欠陥により認証なしでコード実行を許すCritical脆弱性

CVE-2025-69258は、Windows APIの一つであるLoadLibraryEXの実装上の欠陥が原因で発生する脆弱性です。この欠陥により、認証されていない遠隔の攻撃者が任意のDLLをロードさせてコードを実行できてしまう可能性があります。危険度はCVSSv3.1で9.8と評価され、Critical（クリティカル）に分類されています。つまり、ネットワーク経由で誰でも攻撃を仕掛けられる非常に深刻な脆弱性です。

MsgReceiver.exe（標準ポート20001）が細工されたDLLパスを受信すると攻撃者DLLをロードする

Apex Centralサーバ上ではMsgReceiver.exeというコンポーネントが存在し、デフォルトでTCPポート20001番を通じて特定フォーマットのメッセージを待ち受けています。CVE-2025-69258の問題箇所は、このMsgReceiver.exeが受信するメッセージ内に含まれるDLLファイルパスをそのままLoadLibraryEXで読み込んでしまう点にあります。攻撃者が特殊に細工したメッセージを送り込むことで、自分の用意した悪意あるDLLのパスを渡し、MsgReceiver.exeにそのDLLをロードさせることが可能になります。その結果、攻撃者のDLLコードがサーバ上で実行されてしまいます。

管理サーバ上で、ユーザーの関与なく攻撃者はSYSTEM権限で任意のコードを実行可能となり、システムを掌握される恐れも

本脆弱性を悪用されると、Apex Centralサーバ上で攻撃者による任意コード実行が発生します。それもSYSTEMアカウント権限という最高レベルの権限でコードが実行されてしまうため、攻撃者はそのサーバを完全に支配できてしまいます。この攻撃はユーザー（管理者）の操作や関与は一切不要であり、不意にサーバが乗っ取られる可能性があります。最悪の場合、Apex Centralが管理する各種セキュリティ製品の設定を改変されたり無効化されたりする恐れもあり、企業全体のセキュリティが危機に晒されかねません。

管理サーバが外部ネットワークからアクセス可能な構成の場合、特に被害リスクが極めて高く、厳重な注意が必要

Apex Centralサーバが社外のネットワーク（インターネットなど）から直接アクセス可能な状態で稼働している場合、この脆弱性の危険性は一段と高まります。外部の攻撃者が直接Apex Centralに接続できてしまう構成では、パッチ未適用で公開しているだけで標的となり得ます。認証不要のRCEであるCVE-2025-69258は、外部に公開されているApex Centralサーバに対して即座に攻撃が成立し得るため、そうした環境では被害リスクが極めて高いと言えます。ファイアウォール等で信頼されたネットワーク以外からの接続を遮断するなど、厳重な注意と対策が必要です。

公開直後に既にPoC攻撃コードが公開され、攻撃リスクが一層高まる可能性が専門家に指摘されている状況もある

この脆弱性に関しては、情報公開後すぐにセキュリティ研究者によってProof of Concept (PoC)コードがインターネット上で公開されました。その結果、実際の攻撃が行われる現実的な危険性が高まっていると専門家は指摘しています。現時点で実際の悪用事例は確認されていないものの、PoCが公開されたことで攻撃のハードルは下がっており、インターネット上の脆弱なApex Centralを狙ったスキャンや攻撃がいつ発生してもおかしくない状況です。管理者は時間との勝負と捉え、迅速に対策を講じる必要があります。

サービス拒否（DoS）につながる2つの脆弱性 (CVE-2025-69259/69260) の内容と深刻度

次に、残り2件のDoS（サービス拒否）脆弱性について説明します。これらはApex Centralサーバをクラッシュさせ、一時的にサービス不能状態に陥らせる攻撃を可能にする欠陥です。コード実行に比べれば深刻度は一段低いものの、管理サーバのダウンは企業のセキュリティ運用に支障を来すため注意が必要です。それぞれの脆弱性の原因と影響範囲を見ていきましょう。

CVE-2025-69259: メッセージのNULL戻り値チェック不足に起因するDoS（サービス拒否）脆弱性

CVE-2025-69259は、Apex Centralにおけるメッセージ処理の際の戻り値チェックに不備があるために生じるDoS脆弱性です。具体的には、ある種類のリクエストメッセージを処理する際に、戻り値がNULLとなるケースを想定しておらず、その結果NULL参照によるプログラムエラーが発生します。この欠陥を突くことで、遠隔の攻撃者はApex Centralサーバをクラッシュ（異常終了）させることが可能です。認証が不要で悪用できる点も特徴で、細工したメッセージを送りつけるだけでサービス停止を引き起こせます。

CVE-2025-69260: メッセージ処理の境界外読み取りに起因するDoS（サービス拒否）脆弱性

CVE-2025-69260は、もう一つのDoS脆弱性で、メッセージ処理時のデータ読み取り処理に境界チェック漏れがあるために発生します。Apex Centralが受け取るメッセージ内の文字列長などを正しく検証していないため、想定外にバッファ領域外のメモリを読み込んでしまい、プログラムエラーを誘発します。この脆弱性も攻撃者から細工されたメッセージを送りつけるだけで簡単に引き起こすことができ、結果としてApex Centralサービスがクラッシュしダウンしてしまいます。こちらも認証不要で悪用可能です。

攻撃者は認証不要のリクエストでApex Centralサーバーをクラッシュさせ、サービス停止が可能となる

上記2つのDoS脆弱性（CVE-2025-69259および69260）は、ともに認証なしで攻撃を成立させることができます。攻撃者は特殊な細工を施したリクエストをApex Centralサーバに送るだけで、サーバプロセス（MsgReceiverサービスなど）を異常終了させることが可能です。その結果、Apex Centralのサービスが停止し、管理コンソールが利用不能な状態に陥ります。特別な権限やユーザー操作を必要としないため、ネットワーク経由で狙われた場合、容易にサービス妨害攻撃が実行されてしまう点に注意が必要です。

Apex Centralのサービス停止により統合管理機能が一時的に不全となり、セキュリティ運用に支障を来す恐れもある

DoS攻撃が成功すると、Apex Centralサーバのプロセスがクラッシュしサービスが停止します。その間、集中管理コンソールとしての機能が一時的に麻痺し、企業全体のセキュリティ運用に影響が及びます。例えば、セキュリティポリシーの配信や各エージェントからのログ収集が停止し、状況把握や制御ができなくなる可能性があります。また、攻撃者はサービスダウンの隙に他の攻撃を仕掛けることも考えられ、守りが手薄になる点でも危険です。こうしたサービス運用妨害は一時的とはいえセキュリティ上重大なリスクであり、迅速に復旧させることが求められます。

CVSS基本値7.5で重要度は「High」と判定されているが、業務に支障を来すサービス停止リスクは無視できない

これら2つのDoS脆弱性のCVSS基本スコアはいずれも7.5で、重要度レーティングは「High（高）」となっています。コード実行につながるクリティカルな欠陥ではないためCriticalよりは低い評価ですが、重要なセキュリティ管理サーバをダウンさせられる点で業務影響は深刻です。サービスが停止すればその間のセキュリティ監視・制御ができなくなるため、これら「High」レベルの脆弱性であっても放置はできません。可用性への影響を及ぼす脆弱性として、迅速な対応が求められます。

影響範囲: Apex Central (オンプレミス) 全バージョン (Build 7190未満) が影響対象

今回報告された脆弱性の影響範囲について整理します。対象となるのはApex Central（オンプレミス版）を利用している全ての環境で、具体的にはBuild 7190未満のバージョンが該当します。プラットフォームはWindows Server上で動作するオンプレミス型のApex Centralが対象です。クラウドサービス版（SaaS版）のApex Centralについてはベンダー側でアップデートが適用されるため本脆弱性の影響は及ばないと考えられます。それでは、自身の環境が影響を受けるかどうか確認する方法や影響を受ける具体的な条件を見ていきましょう。

該当製品: オンプレミス版「Trend Micro Apex Central 2019」 (Windows)

脆弱性の対象となる製品は、オンプレミス型で提供されているTrend Micro Apex Central 2019です。Apex CentralはTrend Micro社の企業向け統合管理サーバ製品であり、社内のエンドポイント製品やサーバ用セキュリティ製品を一元管理するためのコンソールです。Windows Server上で稼働し、自社インフラ内でセキュリティポリシーの配信やログ集中管理を行うプラットフォームとなっています。今回の脆弱性はこのオンプレミス版Apex Centralに存在するもので、クラウド提供されるSaaS版には直接は影響しません。

影響バージョン: Critical Patch Build 7190未満の全ビルド (最新版未適用のすべて)

トレンドマイクロが公開した情報によれば、Build 7190未満のすべてのApex Central (オンプレミス) が今回の脆弱性の影響を受けます。Apex Central 2019はリリース以降アップデートによってビルド番号が上がってきましたが、最新版であるCritical Patch Build 7190より前のビルドでは脆弱性が残存しています。つまり、最新版パッチをまだ適用していない全てのオンプレミスApex Central環境が該当します。過去のバージョンを含め、Build 7190にアップデートするまでは例外なく影響下にあると考えてください。

プラットフォーム: Windows Server上で動作する統合管理サーバアプリケーション

Apex Central (オンプレミス版) はWindows Server上で稼働するアプリケーションとして提供されています。そのため、本脆弱性の影響を受けるプラットフォームはWindowsを使用した物理サーバや仮想マシン上のApex Centralサーバです。通常、管理サーバとして社内ネットワークに配置され、複数のTrend Micro製品（エンドポイントセキュリティやメールサーバ向け製品等）の状態を集中監視・管理する役割を担います。今回の脆弱性はその管理サーバ自体のソフトウェアに存在するため、当該Windowsサーバ上でソフトを更新することで対策を講じる必要があります。

クラウド提供のApex Central（SaaS版）はベンダ側で対策済みで、本脆弱性の対象外となっている

なお、Trend MicroはApex Centralをクラウドサービス（SaaS）としても提供していますが、SaaS版については本脆弱性の影響対象ではありません。SaaS版Apex Centralはトレンドマイクロ側で管理・運用されており、2026年1月時点ですでに脆弱性を修正した最新バージョンへアップデート済みとされています※。したがって、ユーザー企業が自ら対策を行う必要があるのはオンプレミス環境のみです。ただし、SaaS版利用者も念のためベンダからのアナウンスを確認し、必要に応じて対応手順に従うと安心でしょう。

現在のビルド番号を確認し、ビルド7190以上なら対策済み、未満なら脆弱性の影響ありと判断できる目安となる

Apex Centralを運用中の管理者は、自身の環境のビルド番号を確認することで、脆弱性への対応状況を判断できます。管理コンソールの「バージョン情報」画面などで現在のビルド番号をチェックしてください。もしBuild 7190以上であれば本脆弱性は修正済み（パッチ適用済み）です。一方、ビルド番号が7190未満である場合は、依然として脆弱性の影響下にあります。この場合、直ちに最新ビルドへのアップデートを計画・実施する必要があります。ビルド番号の確認は対策状況を把握する目安となりますので、必ず現行バージョンを確認しましょう。

脆弱性の対策: 公開された修正パッチ (Critical Patch Build 7190) の適用と緩和策

Trend Microは今回の脆弱性に対処するため、緊急の修正パッチをリリースしています。根本的な対策はCritical Patch Build 7190を適用してApex Centralをアップデートすることです。ここではパッチの入手方法や適用手順、さらにパッチ適用前後に講じるべき対策について説明します。万が一すぐにパッチを適用できない場合に備え、被害リスクを低減する緩和策も合わせて確認しましょう。

Critical Patch Build 7190がリリースされ、脆弱性を修正（早急な適用が推奨される）

Trend MicroはCritical Patch (CP) Build 7190を公開し、今回報告された3件の脆弱性を修正しました。CP Build 7190を適用することで、CVE-2025-69258/69259/69260の脆弱性がすべて解消されます。トレンドマイクロは「できるだけ早急に本パッチを適用すること」を強く推奨しており、脆弱性公開と同日にユーザーへ向けて注意喚起を行っています。パッチ適用により攻撃リスクを根本から取り除けるため、まだ適用していない場合は至急対応しましょう。

パッチの入手: Trend MicroダウンロードセンターからCritical Patchが提供されている

修正パッチであるCritical Patch Build 7190は、トレンドマイクロの公式サイト内にあるダウンロードセンターから入手できます。Trend Microのビジネスサポートポータルにログインし、Apex Central (オンプレミス版) のアップデートモジュールとしてCP Build 7190をダウンロードしてください。あわせて提供されているリリースノート（Readme）も入手し、適用手順や注意事項を事前に確認すると良いでしょう。

適用前に必要なサービスパックの適用や設定バックアップなど事前要件を事前に十分確認する必要がある

パッチを適用する前に、いくつか準備すべき事項があります。まず、現在運用中のApex Centralに対して必要なサービスパック（SP）やホットフィックスの適用状況を確認してください。場合によっては、最新のサービスパックを適用しておくことが前提要件となる可能性があります。また、アップデート作業前に現在の設定やポリシーのバックアップを取得しておくことも重要です。適用手順や前提条件はリリースノートに記載されています。それらを事前によく読み込み、必要な準備を十分に整えてからパッチ適用に臨む必要があります。

管理ガイドに沿ってサービスを停止し、パッチ適用プログラム実行後にシステム再起動を行う必要があるとされている

パッチの適用手順は、トレンドマイクロが提供するガイドに従って慎重に実施します。一般的な流れとしては、Apex Centralサーバ上で管理コンソールのサービスを一時停止し、ダウンロードしたパッチ適用プログラム（インストーラ）を管理者権限で実行します。その後、プログラムの指示に従い必要な更新が行われたら、サーバの再起動を行います。再起動後、Apex Centralのバージョン（ビルド番号）が7200近辺に更新され、パッチ適用が正常に完了したことを確認できます。手順の詳細や注意点は付属のReadmeファイルに記載されていますので、必ず順を追って実施することが肝要です。

外部アクセスを断ち、信頼できるネットワークのみから管理サーバへ接続可能とすることでリスク軽減が提唱されている

もし何らかの事情ですぐにパッチ適用ができない場合は、暫定的な緩和策を講じてリスクを下げることが重要です。具体的には、Apex Centralサーバへのアクセス制御を強化することが推奨されています。例えば、ファイアウォールの設定を見直し、Apex Centralのサービスに対して信頼できる社内ネットワークからのみ通信を許可し、それ以外の外部からのアクセスを遮断します。また、必要に応じてサーバを一時的にインターネットから切り離すなどの対策も有効です。これらの緩和策により、パッチ適用までの間に不特定多数から攻撃を受けるリスクをできるだけ減らすことができます。ただし、あくまで一時的な防御策であるため、根本解決のために早期にパッチを適用することが最終的に必要です。

Trend Micro Apex Central脆弱性への早急なパッチ適用を推奨: 注意喚起と今後のリスク

今回明らかになったApex Centralの複数脆弱性は、企業のセキュリティ中枢である管理サーバ自体を標的とした非常に危険なものです。そのため、トレンドマイクロやセキュリティ当局からも早急な対応を促す注意喚起が発せられています。ここでは、なぜ迅速な対応が必要なのか、対応を怠った場合に想定されるリスク、そして今後の教訓についてまとめます。

攻撃が成立すれば、管理サーバが乗っ取られ企業全体のセキュリティが危機に立つ最悪シナリオも想定される可能性がある

最も重大なCVE-2025-69258（RCE脆弱性）が悪用された場合、攻撃者はApex Central管理サーバを完全に支配下に置くことができます。その結果、企業全体のセキュリティ対策基盤が攻撃者の手に落ち、各種エンドポイントやサーバのセキュリティ設定を改ざんされたり無効化されたりする危険があります。つまり、セキュリティを守るはずの中枢サーバが乗っ取られることで、企業全体の防御網が内側から崩壊する最悪のシナリオが現実となり得ます。攻撃が成立してしまえば被害は計り知れず、情報漏洩や二次被害にも繋がる恐れが大いにあります。このような事態を避けるためにも、管理サーバを最新の安全な状態に保つことが不可欠です。

他の方法では防ぎきれず、甚大な被害を避けるためにも早期パッチ適用が最善にして唯一の根本対策であり、直ちに更新を実施することが肝要だ

Apex Central脆弱性への根本的な対策は、迅速に修正パッチを適用すること以外にありません。ネットワークフィルタリング等の緩和策は一時的な被害軽減に寄与しますが、脆弱性そのものを排除できるわけではないため、完全な防御とは言えません。特に今回のようなCriticalな欠陥は他の方法では防ぎきれず、放置すれば甚大な被害につながる可能性があります。したがって、早期にパッチを適用することが最善かつ唯一の根本的解決策です。まだ対応を行っていない場合、手遅れになる前に直ちに最新ビルドへの更新作業に取り掛かる必要があります。

まさに現在、国内外のセキュリティ機関も注意喚起を発出し、管理者は早急な対策を要請されている状況である

本脆弱性に関しては、トレンドマイクロ社だけでなく、国内外のセキュリティ当局や情報機関（例：JPCERT/CCなど）も注意喚起を行っています。これらの機関は、Apex Centralを運用する組織に対し迅速にパッチを適用するよう呼び掛けています。また、こうした注意喚起はニュースメディアや業界団体などからも発信されており、社会的にも早急な対応が求められる事態となっています。「自社は大丈夫」と慢心せず、メーカーおよび公的機関からのアラートを重く受け止め、ただちに対策を講じることが肝心です。

セキュリティ対策製品の脆弱性は優先的に対処し、自社防御を強化し続ける体制を維持することが必要とされる

今回のケースから得られる教訓は、組織のセキュリティを担う製品・システムにおける脆弱性には、最優先で対処する体制を整えておく必要があるということです。Apex Centralのようなセキュリティ管理製品で脆弱性が判明した場合、その影響範囲や深刻度は甚大です。したがって、平時から脆弱性情報を継続的にウォッチし、重要なアップデートがリリースされた際にはすぐに検証・適用できる運用体制を維持しておくことが求められます。セキュリティ対策製品自体の防御力を常に万全に保つことが、組織全体の防御力を高める鍵となります。

速やかな情報共有とアップデートの徹底が被害防止の肝要となる

最後に、組織内におけるセキュリティ情報の共有と対応の迅速化について触れておきます。今回のような注意喚起が発せられた場合、システム管理者や情報システム部門内で迅速に情報を共有し、具体的な対応計画を即座に立てて実行に移すことが重要です。脆弱性対応は時間との勝負であり、初動が早ければ早いほど被害発生の可能性を下げることができます。また、日頃からソフトウェア更新をこまめに行い、脆弱性を作り込まない運用を徹底することも被害予防につながります。組織全体でセキュリティ意識を高く持ち、最新情報にアンテナを張って迅速に対策できる体制を構築しておきましょう。