自動車サプライヤーPSIRT週報（2026-04-22〜2026-04-28）

エグゼクティブサマリー

今週は、直接のTier1部品サプライヤ公告よりも、ソフトウェア供給基盤、Windows運用端末、Chromium系描画基盤、AI/ML開発ツールに重要更新が集中しました。

GitLab self-managed の重要更新
2件のCriticalを含む7件を一括修正。ソースコード管理だけでなく、パッケージレジストリやDependency Proxyなど開発供給基盤全体に波及します。
Microsoft Defender / Windows Shell の KEV 追加
実悪用が確認された脆弱性（KEV）リストに追加され、技術深刻度以上の「運用優先度の上昇」が明確になりました。ビルド/署名/管理端末の保護が急務です。
Chromium 147系 / AI開発環境の修正
Chromiumで30件の修正が入り、IVI/HMIやAndroid系WebViewへ波及します。さらにNVIDIA FLAREやmarimoといったADAS/AI開発環境の脆弱性も顕在化しました。

今週の実務上の要点は、CVSSスコアだけでなく、KEV（実悪用）、露出面、ソフトウェア供給経路、OEMへの説明可能性を併せて優先付けすることです。

今週の主要ニュース比較表

※対応優先度：P1=今週中に影響確認と是正計画着手 / P2=30日以内に是正または前倒し / P3=利用有無と露出確認を優先 / P4=監視継続

公開日（JST）	対象	層	識別子	重要度	自動車への関係
2026-04-22	GitLab self-managed	4	CVE-2026-2842 ほか計7件	P1 (即)	ソースコード、CI、artifact等車載ソフト供給の中核に波及
2026-04-28	Chromium / Chrome Stable 147系	3	CVE-2026-7363 ほか計30件	P1 (即)	IVI/HMI、Android系WebView、メディア・車内ブラウザに波及
2026-04-22	Microsoft Defender	5	CVE-2026-33825 KEV	P1 (即)	署名・ビルド・管理者端末の踏み台化による鍵や権限への波及
2026-04-28	Windows Shell	5	CVE-2026-32202 KEV	P2	広範なWindows開発・運用端末の侵入口として扱う必要あり
2026-04-28	NVIDIA FLARE SDK	2	CVE-2026-24178 等	P2	ADAS/AI評価基盤等で使う場合、モデルやデータへ波及
2026-04-23	marimo	3	CVE-2026-39987 KEV	P3	車両データ解析・ADAS評価用notebookからの侵害

優先度 Top 5

1位

GitLab self-managed patch release

SCM、CI、registry、Dependency Proxyを横断しており、影響評価が製品開発と配布の両方に直結します。自社だけでなくOEMへの説明材料にもなるため、今週最優先です。

2位

Chromium / Chrome 147 系の security fixes

30件という件数だけでなく、WebView、Media、WebRTC、GPU、Cast といった車載HMIで実装されやすい部位に修正が集中しています。Android系 IVI の確認対象として重いです。

3位

Microsoft Defender の KEV 追加 (CVE-2026-33825)

ローカル権限昇格ですが、ビルド/署名/管理端末に入ると二次被害が大きく、KEV追加により「通常優先度」では扱えません。修正版のバージョン境界も明示されています。

4位

Windows Shell の KEV 追加 (CVE-2026-32202)

CVSS 4.3 (Medium) でも、実悪用を根拠に運用優先度は上がります。CVSSスコアと実務の優先度を分けて扱うべき典型例です。

5位

NVIDIA FLARE SDK bulletin

採用組織は限定的ですが、Dashboard認可回避(CVSS 9.8)とデシリアライズRCEを含みます。ADAS/AI系の federated learning や共同学習基盤があるなら、即確認対象です。

個別解説（車載影響への解釈）

ソフトウェア供給基盤（GitLab）

■GitLab self-managed patch release

更新日：2026-04-22
対象版：18.11.1 / 18.10.4 / 18.9.6
深刻度：2 Critical, 1 High, 4 Medium (計7件)

なぜ重要か： 今週の中で最もPSIRT実務に直結します。単なるWebアプリの脆弱性ではなく、権限境界、検索UI、Package Registry、Dependency Proxy、Container Registry通知のように、車載ソフトの開発・保管・配布・依存解決に関わる複数プレーンへ跨る点が重要です。

車載サプライヤーPSIRTの観点では、ここは「社内IT」ではなく「製品供給経路」です。ソース改ざんが起きなくても、レジストリやプロキシの挙動不良、秘密情報の漏えいは、SBOMの正確性やOEMへの説明責任に波及します。
【推奨アクション】 CVEごとの読解より、まず self-managed 版の利用有無、対象バージョン、registry/proxy の有効化状況を揃え、即時アップグレードを実施する。

Chromium系描画基盤

■Chromium / Chrome 147 系

更新日：2026-04-28
深刻度：Critical / High 混在（計30件の修正）

なぜ重要か： 30件の修正の中に、Canvas、GPU、ANGLE、Media、WebRTC、Cast、WebViewなど、車載HMIや評価端末で踏みやすい機能領域が含まれています。「ChromeはPC向けだから対象外」とは言い切れません。
とくにGoogleはAndroidリリースにも同系統修正を含むと案内しています。AOSP由来のWebViewやChromium派生ブラウザを使う構成（IVI、後席エンタメ、スマホ連携等）では影響が大きいです。
【推奨アクション】 OEM/SoC/HMIベンダへ、採用ブランチ、同期タイミング、次回OTA反映時期を確認する。

開発・運用端末の実悪用項目（KEV追加）

Microsoft Defender (CVE-2026-33825)

ローカル権限昇格（High 7.8）。KEV due date は 5/6。ビルド/署名/管理端末の踏み台化は、コード署名鍵や運用権限への波及リスクに直結します。

【アクション】 Defender platform version (4.18.26030.3011) を確認し、署名・秘匿情報保有端末を優先して更新。

Windows Shell (CVE-2026-32202)

ネットワーク経由のspoofing（Medium 4.3）。KEV due date は 5/12。技術深刻度は中程度ですが、実悪用を根拠に優先度を引き上げる必要があります。

【アクション】 4月更新の適用状況確認、開発・運用端末への優先パッチ適用。

ML/AI 開発スタック

■NVIDIA FLARE SDK / marimo

NVIDIA FLARE SDK（CVE-2026-24178 等）： Dashboard認可回避（9.8 Critical）等。ADAS学習、データ共同利用、federated learningの検証基盤に入っている場合はPSIRTの対象に入れるべきです。

marimo（CVE-2026-39987）： pre-auth RCE。KEVに追加されました。車両データ解析やADAS評価用notebookを社外接続できる形で運用している組織は、今週中の確認対象です。プロジェクト側とNVDで影響バージョンの記載にブレがあるため、実際の導入バージョンと露出形態を必ず確認してください。

今週のトレンドとタイムライン

今週の特徴は、Layer 4 と Layer 5（基盤と脆弱性メタ情報）に寄った週だったことです。主戦場はECU個別ではなく、開発供給基盤、運用端末、描画基盤、AI/ML開発ツールでした。採用6件のうち、KEV追加は3件あり、単純なCVSS順ではなく「実悪用前提で優先度が繰り上がる案件」が目立ちました。

継続論点としては、CVSS と運用優先度の分離がますます重要になっています。Windows Shell は 4.3 Medium でも KEV 入りにより P2扱いとなり、逆に marimo は Critical でも非露出なら即座に P1 とは限りません。

SBOM / VEX 観点では、「自社製品に直接入っているか」だけでなく、「自社製品を作る過程や評価する基盤にあるか」を問うものが多く、資産台帳との串刺し確認の価値が高い週でした。

公開・更新タイムライン（第4週）

timeline title 2026-04-22〜2026-04-28 主要公開・更新フロー 2026-04-22 : GitLab self-managed patch release 公開 : Microsoft Defender (CVE-2026-33825) KEV追加 2026-04-23 : marimo (CVE-2026-39987) KEV追加 2026-04-28 : Chromium / Chrome Stable 147 更新 : NVIDIA FLARE SDK April 2026 bulletin 公開 : Windows Shell (CVE-2026-32202) KEV追加

PSIRT向け To-Do（今週のアクション）

self-managed GitLab の運用有無、版数、Package Registry / Dependency Proxy等の有効化状況を、プロダクト開発系・社内業務系で分けて棚卸しし、即時アップグレードする。

Android系 IVI / HMI / 診断ビューアで Chromium / WebView を使う構成を洗い出し、採用ブランチと反映時期をHMI/SoCベンダに確認する。

Microsoft Defender platform version が 4.18.26030.3011 以上かを、署名端末、ビルド端末、管理端末から優先して確認する。

Windows 4月更新の適用状況を再確認し、CVSS ではなく KEV ベースで優先キューを引き直す。

NVIDIA FLARE の採用有無を ADAS/AI・データ分析部門に確認し、採用している場合は 2.7.2 への更新計画を前倒しする。

marimo の利用有無を、PoCサーバ、研究用コンテナ、社外接続可能な notebook 環境を中心に確認し、公開されているものは先に閉じる。

技術深刻度と対応優先度を別管理にし、KEV入り・PoC公開・露出面ありの条件で自動的に P1/P2 へ昇格する運用ルールを見直す。

付録データ：ニュース候補一覧と採否判断ログ（TSV）

本レポート作成時に収集したニュース候補の全リストと、採用・除外の判断理由です。
以下のボックス内はTSV（タブ区切り）形式のテキストになっています。コピーしてExcelやGoogleスプレッドシートのA1セルにそのまま貼り付けると、表として展開されます（管理用にご活用ください）。

候補ID	公開日 / 更新日（JST）	対象	層	トピック要約	採用可否（採用 / 除外）	判断理由	一次情報URL	備考
C01	2026-04-22	GitLab self-managed	4	18.11.1 / 18.10.4 / 18.9.6 patch release; 2 Critical、1 High、4 Medium	採用	SCM/CI/CD/registry/dependency proxy に跨り、車載開発供給基盤への波及が大きい	https://docs.gitlab.com/releases/patches/patch-release-gitlab-18-11-1-released/	本編採用
C02	2026-04-22	Microsoft Defender	5	KEV追加: CVE-2026-33825。ローカル権限昇格、due 2026-05-06	採用	実悪用とKEVで運用優先度が高い。署名端末/ビルド端末への波及を評価対象とすべき	https://nvd.nist.gov/vuln/detail/CVE-2026-33825	本編採用
C03	2026-04-23	marimo	3	KEV追加: CVE-2026-39987。pre-auth RCE in Python notebook	採用	AI/ADAS分析・PoC notebook で利用していれば root shell 直結。活用有無確認価値が高い	https://github.com/marimo-team/marimo/security/advisories/GHSA-2679-6mx9-h9xc	本編採用; 影響範囲表記にNVDとの差分あり
C04	2026-04-28	Chromium / Chrome Stable	3	147.0.7727.137/138; 30件の security fixes。WebView/Media/WebRTC/GPU/Cast を含む	採用	IVI/HMI/Android系WebViewに波及し得るため	https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html	本編採用
C05	2026-04-28	NVIDIA FLARE SDK	2	April 2026 bulletin; CVE-2026-24178/24186/24204 fixed in 2.7.2	採用	ADAS/AI federated learning や分散学習基盤で使っていれば重要	https://nvidia.custhelp.com/app/answers/detail/a_id/5819/~/security-bulletin%3A-nvidia-flare-sdk---april-2026	本編採用
C06	2026-04-28	Windows Shell	5	KEV追加: CVE-2026-32202。ネットワーク経由 spoofing、due 2026-05-12	採用	CVSSは中程度でも実悪用で優先度上昇。Windows開発/運用端末の広い母集団に影響	https://nvd.nist.gov/vuln/detail/CVE-2026-32202	本編採用
C07	2026-04-28	Chrome for Android	3	Android向け更新告知	除外	C04と同一系統の修正群で重複。本編ではChromium rollupとして統合	https://chromereleases.googleblog.com/2026/04/chrome-for-android-update_0728871806.html	重複排除
C08	2026-04-28	GitHub Enterprise Server	4	GHSA-64fw-jx9p-5j24 updated Apr 28 for CVE-2026-3854	除外	期間内はアドバイザリDB更新中心で、実質的な修正公開は3月公表分。今週の重要更新とは扱いにくい	https://github.com/advisories/GHSA-64fw-jx9p-5j24	継続監視
C09	2026-04-24	NVIDIA NemoClaw	4	April 2026 bulletin; env var exfiltration / SSRF 系の問題	除外	公式一次情報はあるが、車載製品・車載開発・車載バックエンドへの直接性が弱い	https://nvidia.custhelp.com/app/answers/detail/a_id/5837	対象範囲外寄り
C10	2026-04-28	NVIDIA Triton Inference Server	4	Page updated Apr 28, but revision history shows initial release Apr 07 only	除外	期間内の「重要更新」と判断できる差分を確認できず	https://nvidia.custhelp.com/app/answers/detail/a_id/5816/~/security-bulletin%3A-nvidia-triton-inference-server---april-2026	継続監視対象

参考URL一覧

https://docs.gitlab.com/releases/patches/patch-release-gitlab-18-11-1-released/
https://nvd.nist.gov/vuln/detail/CVE-2026-33825
https://www.microsoft.com/en-us/msrc/blog/2026/04/202604-security-update
https://nvd.nist.gov/vuln/detail/CVE-2026-32202
https://github.com/marimo-team/marimo/security/advisories/GHSA-2679-6mx9-h9xc
https://nvd.nist.gov/vuln/detail/CVE-2026-39987
https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html
https://chromereleases.googleblog.com/2026/04/chrome-for-android-update_0728871806.html
https://nvidia.custhelp.com/app/answers/detail/a_id/5819/~/security-bulletin%3A-nvidia-flare-sdk---april-2026
https://github.com/advisories/GHSA-64fw-jx9p-5j24
https://nvidia.custhelp.com/app/answers/detail/a_id/5837
https://nvidia.custhelp.com/app/answers/detail/a_id/5816/~/security-bulletin%3A-nvidia-triton-inference-server---april-2026

自動車サプライヤーPSIRT週報
（2026-04-22〜2026-04-28）