2026年4月第3週| 自動車サプライヤー様向けPSIRT週報
エグゼクティブサマリー
今週の採用トピックは、車載ECUそのものよりも、「車載ソフトの開発・配布・運用を支える基盤側」に集中しました。
-
ActiveMQ Classicの実悪用(KEV追加)
認証後RCEという性質に加え、OTA/診断/統合バックエンドで使われがちなメッセージング基盤に直結するため、SBOM照合・外部露出・Jolokia/管理面の点検を即実施すべき案件です。 -
Chromium / Chrome系の4月中旬更新
31件の修正の中にCritical/Highが複数含まれており、IVIや車載向けWebレンダリング(PDF/動画/キャスト機能等)へ波及しやすい点が重い論点です。 -
GitOps・CI/CD・ログ基盤の脆弱性
Argo CD Image Updaterの越権更新、CloudBees CI/JenkinsのCSRF、CrowdStrike LogScale(self-hosted)の重大な任意ファイル読取など、層3-4-5に警戒が集中しています。
少なくとも今回確認できた公開一覧では、BoschやVectorの対象期間内新規公開は見当たらず、Tier1固有製品より“上流基盤の波及確認”が主戦場の週でした。
今週の主要ニュース比較表
| 公開日(JST) | 対象 | 層 | 識別子 | 重要度 | 自動車への関係 |
|---|---|---|---|---|---|
| 2026-04-16 KEV追加 |
ActiveMQ Classic | 5→3/4 | CVE-2026-34197 | P1 (即) | OTA、診断連携、統合バックエンド、テスト環境のMQ利用に波及しやすい。 |
| 2026-04-15 2026-04-17 |
Chromium / Chrome 系 | 3 | CVE-2026-6299等 | P2 | IVIのWebレンダリング、車内ブラウザ、PDF/動画表示、開発向けWeb UIに波及。 |
| 2026-04-16 | Argo CD Image Updater |
4/5 | CVE-2026-6388 | P2 | OTA基盤やクラウドサービスをGitOps化している場合、更新完全性に直撃。 |
| 2026-04-21 | CrowdStrike LogScale |
4 | CVE-2026-40050 | P2 | PSIRT/SOC/車両ログ集約基盤にトークン、証明書、車両識別情報が残る場合影響大。 |
| 2026-04-15 | CloudBees CI / Jenkins | 4 | BEE-65943 | P3 | ECUソフト、車載ミドル、クラウド部品のビルド定義改変リスク。 |
※対応優先度は P1=緊急、P2=高、P3=中、P4=監視 として運用判断しています。
優先度 Top 5
ActiveMQ Classic (CVE-2026-34197)
KEV追加により「既に悪用されている」ことが前提になりました。ActiveMQは単体の脆弱性というより、メッセージ経路そのものを奪われる可能性が問題で、OTA指令、診断ジョブ、検証環境の統合基盤に使っている場合は今週中に確認すべきです。
CrowdStrike LogScale (CVE-2026-40050)
self-hostedに限るとはいえ、認証不要でファイルを読めるタイプのため、SOC/PSIRT/運用ログの二次漏えいが発生します。車両側の障害解析ログ、クラウド証明書、APIトークン、デバッグ痕跡が同居している場合は影響が広いです。
Chromium / Chrome 系の4月中旬修正群
31件の修正の中にCritical/Highが並び、PDFium、Video、Cast、Skia、ANGLE、XRと、IVIや車載向けHMIで実際に踏みやすい機能面が多いのが特徴です。車載製品本体だけでなく、開発端末・評価治具・社内ポータルも対象です。
Argo CD Image Updater (CVE-2026-6388)
実悪用やKEVは未確認ですが、更新の完全性を壊す点が重い案件です。クラウド側マイクロサービス、デジタルキー基盤、OTA周辺APIをGitOps運用している場合、越権更新は説明責任と変更統制に直結します。
CloudBees Maven Migration Assistant (BEE-65943)
技術深刻度はMediumでも、CI/CD変更系エンドポイントへのCSRFは、開発基盤における“静かな設定改変”を起こしやすい類型です。該当プラグインを使う組織は多くありませんが、使っているなら後回しにしない方がよいです。
個別解説(車載影響への解釈)
メッセージング基盤とKEV(ActiveMQ Classic)
- 更新日:2026-04-16(KEV追加)
- 層:5(KEV)→ 3/4(OSS・バックエンド)
- 修正状況:5.19.4 / 6.2.3 へ更新推奨
なぜ重要か: Apache advisoryではJolokia JMX-HTTP bridgeを足場にした認証後RCEと説明されています。自動車サプライヤーPSIRTにとって重要なのは、ActiveMQが“社内IT”に閉じた話ではなく、OTA配信の状態連携、診断・テレマティクス連携、検証設備の非同期ジョブ制御、統合バックエンドのイベント中継に紛れ込みやすい点です。
【推奨アクション】 SBOM検索、Jolokia露出確認、Classic系採用棚卸し、管理面の到達性確認、影響説明テンプレート準備。
Chromium系のWebレンダリングとメディア面
- 更新日:2026-04-15 / 2026-04-17
- 深刻度:Critical〜High が複数
なぜ重要か: Chrome 147 安定版で31件の修正が入りました。これを単なる「PCブラウザ更新」と見ず、Chromium派生のIVIランタイム、車内Web UI、認証ポータル、動画・キャスト機能へ波及すると捉える必要があります。Chromiumをフォークして長期維持している場合、“Chrome stableは上がったが自社フォークに未反映”が典型的な負債になります。
【推奨アクション】 Chromium派生物の採用一覧作成、PDF/動画/キャスト/XR/Skia使用面の優先評価、WebView保守チームへの照会。
GitOpsとCI/CDの更新完全性
multi-tenant環境で他テナントのアプリ更新を誘発できる越権問題。OTA基盤やクラウドサービスをGitOps化している場合、意図しないイメージ更新はリリース統制の破壊に直結します。
【アクション】 利用有無確認、ImageUpdater作成権限の絞り込み、RBAC見直し。Maven Migration Assistant 0.121未満にCSRF。対象プラグインは限定的ですが、“Jenkins周辺での設定変化”という意味では車載開発のビルド定義改変リスクになります。
【アクション】 該当プラグインの有無確認、0.121へ更新。監視・ログ基盤の機密情報流出面
- 更新日:2026-04-21
- 深刻度:Critical (CVSS 9.8 ※補足情報)
なぜ重要か: self-hosted LogScaleにおける認証不要のpath traversal(任意ファイル読取)です。車両側の障害解析ログ、クラウド証明書、APIトークンなどが集約されている場合、読むだけの脆弱性でも被害は大きくなります。Humio時代の残存環境や、委託先の利用有無にも注意が必要です。
【推奨アクション】 self-hosted利用確認、API露出確認、緊急更新、保管ログの機密度再評価。
今週のトレンドとタイムライン
今週は、層3(基盤OSS)・層4(バックエンド/更新/ビルド基盤)・層5(脆弱性メタ情報源)に論点が集中しました。車載製品そのものの新規PSIRT公開というより、“車載ソフトを作る・配る・監視する基盤”の更新判断に効くものが大半です。
一方で、BoschやVectorの公開アドバイザリ一覧では対象期間内の新規公開は見当たらず、Tier1固有製品よりも、その上流ソフトウェア/運用基盤の影響評価が先行する週でした。
公開・更新タイムライン(第3週)
PSIRT向け To-Do(今週のアクション)
付録データ:ニュース候補一覧と採否判断ログ(TSV)
本レポート作成時に収集したニュース候補の全リストと、採用・除外の判断理由です。
以下のボックス内はTSV(タブ区切り)形式のテキストになっています。コピーしてExcelやGoogleスプレッドシートのA1セルにそのまま貼り付けると、表として展開されます(管理用にご活用ください)。
候補ID 公開日 / 更新日(JST) 対象 層 トピック要約 採用可否(採用 / 除外) 判断理由 一次情報URL 備考
C-01 2026-04-16 Apache ActiveMQ Classic / CISA KEV 5 → 3/4連鎖 ActiveMQ ClassicのJolokia経由RCE CVE-2026-34197 がKEV追加。5.19.4 / 6.2.3への更新推奨 採用 実悪用前提のKEV追加で、OTA/診断/統合バックエンドのメッセージ基盤に波及確認が必要 https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt | https://nvd.nist.gov/vuln/detail/CVE-2026-34197 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog 最優先候補
C-02 2026-04-15 / 2026-04-17 Chromium / Chrome / ChromeOS LTS 3 Chrome 147安定版とChromeOS LTS-138でCritical/Highを含む修正群。PDFium、Video、Cast、Skia、ANGLE等 採用 IVI/HMIのWebレンダリングや評価端末、PDF/動画機能への波及が大きい https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html | https://chromereleases.googleblog.com/2026/04/long-term-support-channel-update-for_17.html | https://nvd.nist.gov/vuln/detail/CVE-2026-6299 Chromium派生物の棚卸し向け
C-03 2026-04-16 Argo CD Image Updater 4 / 5 multi-tenant環境でnamespace境界を越えた無権限イメージ更新を誘発し得る越権更新問題 採用 OTA/クラウド更新運用の完全性に直結し、SBOM/VEX説明の対象になりやすい https://github.com/advisories/GHSA-mx9c-q7m4-fm97 | https://nvd.nist.gov/vuln/detail/CVE-2026-6388 fixed version不明
C-04 2026-04-15 CloudBees CI / Jenkins 4 CloudBees Maven Migration Assistant 0.121未満にCSRF。Maven Project→Pipeline変換エンドポイントがPOST必須でなかった 採用 技術深刻度は中だが、車載開発CI/CDの設定変更面に関係し、対処コストが低い https://www.cloudbees.com/security-advisories/cloudbees-security-advisory-2026-04-15 修正版 0.121
C-05 2026-04-21 CrowdStrike LogScale 4 self-hosted LogScaleに認証不要path traversal。任意ファイル読取が可能 採用 PSIRT/SOC/運用ログ基盤の秘密情報流出に直結。self-hosted限定でも影響大 https://www.cve.org/CVERecord?id=CVE-2026-40050 | https://github.com/advisories/GHSA-q4qj-hj7m-7jgx self-hosted限定。修正版番号は補足確認
C-06 2026-04-16 GitLab 18.11 月例リリース 4 GitLab 18.11でSecurity Manager role、SAST profile、vulnerability resolution GAなど 除外 セキュリティ機能強化として有益だが、脆弱性/advisory/PSIRT更新ではなく今週の優先対応材料としては弱い https://docs.gitlab.com/releases/18/gitlab-18-11-released/ 継続監視向け
C-07 2026-04-08 GitLab 18.10.3 / 18.9.5 / 18.8.9 4 GitLabのセキュリティパッチリリース 除外 対象期間外 https://docs.gitlab.com/releases/18/patch-release-gitlab-18-10-3-released/ 前週案件
C-08 2026-04-13〜04-14 JST相当 NVIDIA Triton Inference Server 4 Triton Inference Serverの複数DoS/情報漏えい修正 除外 更新日は対象期間外 https://nvidia.custhelp.com/app/answers/detail/a_id/5816/~/security-bulletin%3A-nvidia-triton-inference-server---april-2026 ADAS/AI開発には関連するが今週採用外
C-09 2026-04-06 Qualcomm April 2026 Bulletin 2 / 5 Qualcomm 4月月例セキュリティ情報 除外 公開日が対象期間外 https://docs.qualcomm.com/product/publicresources/securitybulletin 前週案件
C-10 2026-04-07 OpenSSL Security Advisory 3 OpenSSL 3.6.2 / 3.5.4 / 3.4.5 / 3.3.6 / 3.2.8 / 3.1.10 等のsecadv 除外 公開日が対象期間外 https://openssl-library.org/news/secadv/20260407.txt 車載関連性は高いが今週採用外
C-11 2026-04-06 Android Automotive OS Update Bulletin April 2026 3 AAOS 4月号。4月号固有のAAOSセキュリティパッチなし 除外 対象期間外かつ今週の新規判断材料が弱い https://source.android.com/docs/security/bulletin/aaos/2026/2026-04-01 参照価値はある
C-12 対象期間該当なし(公開一覧確認) Bosch PSIRT 公開一覧 1 公開一覧確認。2026年の新規公開は2月分までで、対象期間内の新規公開を確認できず 除外 対象期間内の新規advisoryなし https://psirt.bosch.com/security-advisories/ 監視継続
C-13 対象期間該当なし(公開一覧確認) Vector PSIRT 公開一覧 1 / 4 公開一覧確認。最新公開advisoryは2025-05-16で、対象期間内の新規公開を確認できず 除外 対象期間内の新規advisoryなし https://www.vector.com/jp/ja/support-downloads/security-advisories/ 車載開発基盤ベンダーとして確認参考URL一覧
- https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
- https://nvd.nist.gov/vuln/detail/CVE-2026-34197
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-6299
- https://chromereleases.googleblog.com/2026/04/long-term-support-channel-update-for_17.html
- https://github.com/advisories/GHSA-mx9c-q7m4-fm97
- https://nvd.nist.gov/vuln/detail/CVE-2026-6388
- https://www.cloudbees.com/security-advisories/cloudbees-security-advisory-2026-04-15
- https://www.cve.org/CVERecord?id=CVE-2026-40050
- https://github.com/advisories/GHSA-q4qj-hj7m-7jgx
- https://psirt.bosch.com/security-advisories/
- https://www.vector.com/jp/ja/support-downloads/security-advisories/
インフラ基盤の脆弱性がサプライチェーンに波及していませんか?
OTA基盤やCI/CD環境、ログ管理基盤への攻撃は、製品そのものの脆弱性よりも速く深刻な被害をもたらします。ソフトウェア供給網の監視体制やSBOM連携についてご相談いただけます。