Trend Microは、Apex Central(オンプレミス)に存在する3件の深刻な脆弱性に対処する重大なセキュリティアドバイザリを発行しました。これらの脆弱性により、リモートコード実行、サービス拒否攻撃、および不正なシステムアクセスが可能になる恐れがあります。
2026年1月7日に公開されたこれらの脆弱性は、Build 7190未満のすべてのバージョンに影響し、企業のセキュリティ基盤に対して差し迫った脅威となります。
最も深刻な脆弱性である CVE-2025-69258 はCVSSスコア9.8で、重大なLoadLibraryExの欠陥です。
この脆弱性により、認証されていないリモート攻撃者が攻撃者制御のダイナミックリンクライブラリ(DLL)を重要な実行ファイルに読み込ませることができ、SYSTEMレベルの権限で任意のコード実行に至ります。
この攻撃は認証やユーザー操作を必要としないため、外部に公開された環境では特に危険です。
追加の2件の脆弱性は、認証を必要とせずにサービス拒否攻撃を可能にします。 CVE-2025-69259 はメッセージ処理におけるNULL戻り値の未チェックに起因し、 CVE-2025-69260 は境界外読み取り条件を悪用します。
いずれの脆弱性もCVSSスコアは7.5で、リモート攻撃者が影響を受けるシステムをクラッシュさせ、業務運用を妨害できる可能性があります。
Trend Microは、ダウンロードセンターから直ちに入手可能なCritical Patch Build 7190を公開しました。
これらの脆弱性は本番環境で悪用される重大なリスクを伴うため、組織はすべてのApex Centralインストールの更新を最優先で実施する必要があります。
ベンダーは、RCE脆弱性が極めて重大であり、かつ認証要件がないことから、直ちに展開することを強く推奨しています。
Critical Patch Build 7190の適用に加え、Trend Microは、重要システムへのリモートアクセス方針を見直し、境界防御のセキュリティ設定が最新であることを確認するよう企業に助言しています。
これらの脆弱性の悪用には特定の条件が必要となる場合があるものの、そのうち2件が認証不要であること、そしてRCE欠陥が重大であることから、影響を受けるすべての環境で直ちに是正措置を講じる必要があります。