ニュース分析

2026年5月第2週|自動車サプライヤー様向けPSIRT週報
2026年5月4日〜2026年5月11日

エグゼクティブサマリー

今週は、車載OS、車載SoC、開発基盤、外部公開インフラの4領域に一次情報が集中しました。採用トピックは Android / AAOS、Qualcomm の車載GPU、GitHub Enterprise Server、Apache HTTP Server、PAN-OS、CISA KEV 追加です。

車両側で最も実務影響が大きいのは、Android Security Bulletin の CVE-2026-0073 と、それを AAOS が 2026-05-05 パッチレベルとして前提化している点です。IVI / TCU / 開発ベンチで wireless ADB や userdebug 運用が残っていないか、棚卸しが必要です。

開発・配布基盤では GitHub Enterprise Server と Apache HTTP Server が同週に修正を公開しており、CI/CD、artifact、サプライヤーポータル、OTA周辺の基盤棚卸しを今週中に進める価値があります。唯一の P1 は PAN-OS CVE-2026-0300 で、実悪用・KEV・外部到達性が揃っているため、車載そのものではなくても OTA / リモート保守 / バックエンド境界装置として緊急度が高い案件です。

今週の採用トピック
  • Android / AAOS
    CVE-2026-0073 と 2026-05-05 patch level の充足確認。
  • Qualcomm Automotive GPU
    Snapdragon Auto 採用品の BOM / BSP / SKU 照合。
  • GHES / Apache / PAN-OS
    開発供給基盤、外部公開面、境界装置への波及確認。

今週の主要ニュース比較表

公開日 / 更新日 対象 識別子 技術深刻度 優先度 推奨アクション
2026-05-04 / 05-07 Android Security Bulletin 3 CVE-2026-0073 Critical / CVSS 8.8 High P2 AAOS / IVI / TCU 開発機、検証車、サービス用端末で patch level と wireless ADB を確認。
2026-05-04 AAOS Update Bulletin 3 追加 CVE なし AAOS固有修正なし P3 AAOS 固有修正なしと Android patch level 必須を分けて説明できるよう整理。
2026-05-04 Qualcomm May 2026 Security Bulletin 2 CVE-2026-24082 High P2 Snapdragon Auto 採用有無、影響SKU、BSP / patch ETA を SoC 窓口へ照会。
2026-05-07 GitHub Enterprise Server 4 CVE-2026-8034 ほか HIGH / MEDIUM P2 3.18.9 / 3.19.6 以上、または 3.20.2 以上への更新計画を確定。
2026-05-04 Apache HTTP Server 2.4.67 4 CVE-2026-23918 ほか High / Critical を含む P2 2.4.66 以前の資産、http2 / mod_proxy_ajp / mod_auth_digest の使用有無を確認。
2026-05-06 PAN-OS User-ID Authentication Portal 4 CVE-2026-0300 / KEV 9.3 Critical P1 User-ID Authentication Portal を即時棚卸し。未使用なら停止、使用中なら trusted zone 限定。

優先度 Top 5

1位

【P1】PAN-OS CVE-2026-0300

実悪用、KEV追加、認証不要、外部到達可能な portal という条件が重なっています。OTA配信・リモート保守・サプライヤー接続の境界に置かれることが多く、緊急確認対象です。

【P2】Android Security Bulletin / AAOS patch governance

CVE-2026-0073 は Android bulletin 上 Critical で、AAOS 側も 2026-05-05 patch level を前提にしています。評価車・工場・サービス用開発端末まで含めた確認が必要です。

【P2】Qualcomm Snapdragon Auto 向け Automotive GPU

車載SoCへ直接波及する上流公開です。悪用情報は未確認でも、採用品かどうかの照合と BSP 改修 ETA の確認を今週進める価値があります。

【P2】GitHub Enterprise Server 3.18.9 / 3.19.6

SSRF、DoS、外部認証回避、credential theft など、CI/CD とコード保管基盤にまたがる修正です。SBOM、署名、build provenance の信頼性にも関係します。

【P2】Apache HTTP Server 2.4.67

OTA portal、部品共有、診断ゲートウェイ前段、artifact 配信など Apache 採用率が高い用途では優先度が上がります。

個別解説

Android / AAOS の論点

Android Security Bulletin May 2026 は System コンポーネントの CVE-2026-0073 を Critical として掲載しています。内容は adbd の mutual authentication bypass により、近接条件で shell user RCE に至り得るものです。AAOS 側の 2026年5月 bulletin は、AAOS 固有のセキュリティパッチは無いとしつつ、フル更新は 2026-05-05 以上の Android patch level を前提としています。

推奨アクション: wireless ADB の使用実態確認、`ro.build.version.security_patch` の棚卸し、AOSP 取り込み状況の確認。

Qualcomm 車載GPUの論点

Qualcomm の May 2026 Security Bulletin は、Automotive GPU における Use After Free として CVE-2026-24082 を掲載し、Severity を High としています。CVE レコード側でも Platform は Snapdragon Auto とされており、一般モバイルSoCではなく車載SKUの影響確認が必要です。

推奨アクション: SoC 型番と車種横断の採用表照合、BSP 反映版の ETA 確認、製品別に「量産影響」「試作影響」「評価ボード影響」を分けて整理。

GitHub Enterprise Server の論点

GitHub Enterprise Server 3.18.9 と 3.19.6 は、notebook viewer の SSRF、深い JSON payload による DoS、外部認証環境での local user 作成、Management Console login page の reflected HTML injection による credential theft などを修正しました。

推奨アクション: インスタンスのバージョン棚卸し、外部認証設定と signup 制御確認、notebook viewer の公開状態確認、Actions / Packages を使う build 系と切り離した優先更新。

Apache HTTP Server の論点

Apache HTTP Server 2.4.67 は security release として公開され、HTTP/2、AJP、Digest 認証、HTTP response splitting など複数の修正を含みます。車載バックエンドでは、製品搭載OSSよりも OTA portal や supplier extranet などの運用基盤に効く可能性があります。

推奨アクション: 2.4.66 以前の資産検出、http2 / mod_proxy_ajp / mod_auth_digest の有効化有無、reverse proxy / backend trust 境界の再確認。

PAN-OS と KEV の論点

PAN-OS の User-ID Authentication Portal における CVE-2026-0300 は、認証不要で root 権限の任意コード実行に至り得る buffer overflow とされ、vendor advisory では Severity 9.3 Critical、Exploit Maturity ATTACKED と表示されています。CISA KEV にも追加され、境界装置としての緊急確認が必要です。

推奨アクション: User-ID Authentication Portal 利用有無の即時把握、露出確認、未使用なら停止、使用中なら trusted zone 限定、OEM への説明文面準備。

今週のトレンド

今週の採用案件は、直接Tier1サプライヤーの個別PSIRT案件よりも、上流プラットフォームとバックエンド運用基盤に偏りました。車両側では Android / AAOS と Qualcomm、運用側では GHES、Apache、PAN-OS であり、「車載製品そのもの」と「それを作る基盤・配る基盤」の両方を見る必要がある週でした。

レイヤー別では層3と層4への集中が目立ちます。AAOS 固有パッチはありませんでしたが、AAOS が Android patch level を前提とする構造は継続しています。また、GHES と Apache の同週修正は、SBOM / VEX を製品BOMだけで閉じず、CI/CD、artifact、repo、portal まで広げる必要があることを示しています。

実悪用フラグが明確に乗ったのは PAN-OS だけで、今週の P1 もそこに限定されます。一方で、CVSS や Severity が高くても、車載関連性や到達性が条件付きの案件は P2 / P3 に留めるべきであり、「技術深刻度」と「対応優先度」を分離する整理が重要です。

PSIRT向け To-Do

AAOS / Android 採用品について、`ro.build.version.security_patch` が 2026-05-05 相当を満たすか、車種横断で確認する。
IVI / TCU / 開発ベンチで wireless ADB、userdebug、eng build、service mode の残存有無を調べる。
Snapdragon Auto 採用 ECU / ドメインコントローラの SoC 一覧を更新し、CVE-2026-24082 の影響有無と修正版 ETA を照会する。
自社 GHES の系統別バージョンを棚卸しし、3.18.9 / 3.19.6 以上、可能なら 3.20.2 以上への更新順序を固める。
Apache HTTP Server 2.4.66 以前の利用有無を、OTA portal、supplier extranet、diagnostic web front、artifact mirror を対象に確認する。
PAN-OS User-ID Authentication Portal の利用有無、外部露出、trusted zone 制限、有効化理由を今週中に確認し、未使用なら停止する。
OEM 説明用には、PAN-OS は P1、Android / Qualcomm / GHES / Apache は P2 を基本線として、技術深刻度と対応優先度を分けた説明票を準備する。

参考URL一覧

  • https://source.android.com/docs/security/bulletin/2026/2026-05-01
  • https://source.android.com/docs/security/bulletin/aaos/2026/2026-05-01
  • https://docs.qualcomm.com/securitybulletin/may-2026-bulletin.html
  • https://docs.github.com/en/enterprise-server@3.19/admin/release-notes
  • https://docs.github.com/en/enterprise-server@3.18/admin/release-notes
  • https://downloads.apache.org/httpd/Announcement2.4.html
  • https://httpd.apache.org/security/vulnerabilities_24.html
  • https://security.paloaltonetworks.com/CVE-2026-0300
  • https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • https://nvd.nist.gov/vuln/detail/CVE-2026-0073
  • https://nvd.nist.gov/vuln/detail/CVE-2026-23918
  • https://nvd.nist.gov/vuln/detail/CVE-2026-28780
  • https://nvd.nist.gov/vuln/detail/CVE-2026-7541
  • https://nvd.nist.gov/vuln/detail/CVE-2026-8106
  • https://nvd.nist.gov/vuln/detail/CVE-2026-0300

付録データ:ニュース候補一覧と採否判断ログ(TSV)

本レポート作成時に収集したニュース候補の全リストと、採用・除外の判断理由です。以下のボックス内は TSV(タブ区切り)形式のテキストです。

候補ID	公開日 / 更新日(JST)	対象	層	トピック要約	採用可否(採用 / 除外)	判断理由	一次情報URL	備考
C01	2026-05-04公開 / 2026-05-07更新	Android Security Bulletin—May 2026	3	adbdの相互認証回避CVE-2026-0073を含む月例ASB	採用	AAOS/IVI/TCU開発系のpatch level判断に直結し、車載開発・評価端末まで影響評価が必要	https://source.android.com/docs/security/bulletin/2026/2026-05-01	AOSPリンク追加の重要更新も期間内
C02	2026-05-04公開	Android Automotive OS Update Bulletin—May 2026	3	AAOS固有パッチはなしだが、フル更新で2026-05-05 patch levelを前提化	採用	追加CVEはないが、AAOS運用では「追加なし」自体が重要な判断材料	https://source.android.com/docs/security/bulletin/aaos/2026/2026-05-01	本文ではAndroid案件と連動して解説
C03	2026-05-04公開	Qualcomm May 2026 Security Bulletin	2	Automotive GPUのUse-After-Free CVE-2026-24082をHighで公開	採用	Snapdragon Auto採用品のBOM/BSP照合に直結する上流公開	https://docs.qualcomm.com/securitybulletin/may-2026-bulletin.html	CVE record側でSnapdragon Autoを確認
C04	2026-05-07公開	GitHub Enterprise Server 3.18.9 / 3.19.6	4	SSRF、DoS、外部認証迂回、credential theft系修正を含む	採用	CI/CD、Actions、Packages、SBOM/provenance運用基盤に関わるため	https://docs.github.com/en/enterprise-server@3.19/admin/release-notes; https://docs.github.com/en/enterprise-server@3.18/admin/release-notes	3.20.2等への言及はNVD側にあり
C05	2026-05-04公開	Apache HTTP Server 2.4.67	4	HTTP/2、AJP、Digest認証など複数脆弱性を修正するsecurity release	採用	OTA/portal/artifact/open backendでApache採用が残りやすく、運用基盤波及が高い	https://downloads.apache.org/httpd/Announcement2.4.html; https://httpd.apache.org/security/vulnerabilities_24.html	2.4.66以前の棚卸し価値が高い
C06	2026-05-06重要更新	PAN-OS User-ID Authentication Portal / KEV	4	RCE級CVE-2026-0300がKEV追加、vendorはATTACKEDと明示	採用	実悪用・KEV・外部到達性が揃い、OTA/リモート保守境界で緊急度が高い	https://security.paloaltonetworks.com/CVE-2026-0300; https://www.cisa.gov/known-exploited-vulnerabilities-catalog	本文ではKEV追加を基準日に採用
C07	2026-05-11公開	Ubuntu USN-8254-2 Linux kernel (NVIDIA) vulnerabilities	3	Linux kernel for NVIDIA systems向けnotice	除外	NVIDIA系で関連性はあるが、Ubuntuディストロ依存で車載直結性が条件付き。一次情報も総論中心	https://ubuntu.com/security/notices/USN-8254-2	監視候補としては有用
C08	2026-05-07公開	Ubuntu USN-8261-1 Linux kernel (Xilinx) vulnerabilities	3	Linux kernel for Xilinx systems向けnotice	除外	産業/FPGA用途では関連し得るが、今週の車載優先順位としては弱い	https://ubuntu.com/security/notices/USN-8261-1	車載量産採用が確認できず
C09	2026-05-05公開	Chrome 148 Stable Channel Update for Desktop	3	Desktop向けに多数のChromium CVE修正	除外	セキュリティ価値は高いが、車載採用の特定が弱く、今週のPSIRT優先対象としては間接的	https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop.html	IVI browser独自評価では参照余地あり
C10	2026-05-05公開	Chrome for Android Update 148.0.7778.120	3	Android版Chrome更新	除外	リリースノートがstability/performance中心で、車載判断に必要な一次セキュリティ情報が不足	https://chromereleases.googleblog.com/2026/05/chrome-for-android-update.html	Android bulletin採用で代替
C11	2026-05-11公開	Apple security releases	3	iOS 26.5 / iOS 18.7.9などのsecurity release	除外	WebKit等は参考になるが、車載OS/バックエンドへの直接関係が弱い	https://support.apple.com/en-us/100100	CarPlay連想だけでは採用基準不足
C12	2026-04-01追加(期間外)	CISA KEV Google Dawn / Chromium / Skia entries	5	Google系レンダリング/グラフィクスのKEV項目はあるが追加日は4月	除外	車載ブラウザ文脈では注目に値するが、対象期間外	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=&field_date_added_wrapper=all&items_per_page=20&search_api_fulltext=CVE-2026-5281&sort_by=field_date_added&url=	期間厳守で除外
C13	期間内更新確認できず	NXP PSIRT portal	2	PSIRT窓口ページは確認したが、期間内の個別advisoryを確認できず	除外	ポータル自体は重要だが、今週の新規公開・重要更新が確認できない	https://www.nxp.com/support/support/product-security-vulnerability%3APSIRT	今後の定点観測対象

今週のPSIRT優先度整理を、そのまま社内説明に使える形へ

Auto PSIRT Cloudでは、SBOMや脆弱性情報をもとに、車載製品・開発基盤・バックエンド運用基盤への影響を切り分け、OEM説明や監査証跡に使える形で整理できます。

【無料】オンライン相談を予約する