Drupalコアに高クリティカル脆弱性、5月20日に緊急更新リリースで悪用に警戒

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「Drupalで動いている自社サイト、急ぎパッチを当てなきゃいけないの?」
「Highly Criticalって言われても、まだCVEも公表されていないけど何が危険なの?」

チップス

ボス、Drupalが緊急で更新するって言ってましゅけど、まだ詳細が出ていないんでしゅか?

ボス

うむ、5月18日付の事前告知PSA-2026-05-18で、5月20日17〜21時UTCに公開と予告された。詳細はリリースまで伏せられている。

本記事では、Drupalコアの「Highly Critical」緊急リリースの位置づけと、公開数時間で悪用される可能性を踏まえた優先対応を解説します。
政府機関や大学を含む数百万サイトに影響する重大事案です。

  • Drupalセキュリティチームが25段階中20の「Highly Critical」を予告
  • 認証不要・複雑性なしで悪用可能、機密性・完全性ともに最大の影響
  • 11.3/11.2/10.6/10.5の全サポートブランチが対象、8.9・9.5にもパッチが提供

続きを読めば、公開直後に動くべき優先順位と、Drupal Stewardの限界を含めた現実的な防御策が分かります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

Highly Critical指定の意味と影響範囲

Drupalの「Highly Critical」は最高ランクの脅威評価です。
事前告知の段階で動いている時点で、相当な深刻度を運営側が認識しています。

PSA-2026-05-18が示す異例の高評価

Drupalセキュリティチームは25点満点中20点の評価を付与しています。
Access Complexityが「None」、Authenticationも「None」とされ、認証情報や前提条件なしで悪用が成立する設計です。
機密性と完全性への影響は最大の評価で、非公開データの読み取りとサイトデータの改ざん・削除が可能になります。

事前告知の評価ポイントは表のとおりです。

項目内容
識別子PSA-2026-05-18(事前告知)
リスク評価25点満点中20点(Highly Critical)
公開予定2026年5月20日 17〜21時UTC
対象Drupal 11.3/11.2/10.6/10.5(および8.9/9.5へのパッチ)

数時間で悪用コードが出回るおそれ

Drupalチーム自身が、公開後「数時間から数日」で悪用コードが開発される可能性を指摘しています。
過去のSA-CORE-2018-002(通称Drupalgeddon2)でも、パッチ公開から数時間で大規模な攻撃キャンペーンに発展しました。
政府機関や大学、メディアサイトでの利用が多いCMSのため、攻撃者にとっては高価値なターゲットです。

チップス

数時間で攻撃が始まるって、寝てる間にやられちゃうかもでしゅか?

ボス

うむ、メンテナンス窓口を事前に確保しておけ。日本時間では5月21日午前2〜6時の公開だ。

公開直後に取るべき優先行動

事前告知の段階で準備できることは多くあります。
パッチ公開を待つだけでなく、検知と封じ込めの体制も整えておくべきです。

Drupal Stewardでも更新は必須

有償のクラウド保護「Drupal Steward」は、リリース時に既知の攻撃ベクトルへの保護を即時に提供します。
ただしSteward側でも、コード更新を不要にするものではないと明言されています。
WAFやCDNでの一次防御に加え、最終的にはコアアップデートが必須という前提で動く必要があります。

5月20日のリリースまでに確認すべき項目はこちらです。

  • 運用中のDrupalバージョンとサポート対象ブランチを棚卸し
  • 5月20日深夜から21日朝にかけてのメンテナンス担当を確保
  • 事前にステージング環境でロールバック手順を確認
  • WAFログ・アクセスログの監視強化を予定に組み込む

サポート切れ版でも油断しない

サポート終了済みの11.1や10.4、さらにはDrupal 8.9や9.5にもパッチが提供されることが告知されています。
「サポート切れだから無視できる」ではなく、攻撃者にとっては逆に脆弱なまま放置されている可能性が高い格好のターゲットです。
日本企業でも古いバージョンのDrupalで運用中のコーポレートサイトは多く、棚卸しと適用判断を早急に進めるべきです。

チップス

サポート切れだから安全だと思っていたけど、むしろ狙われやすいんでしゅね…

ボス

うむ、攻撃者は古いバージョンに張り込んで待っているものだ。手動パッチでも当てる価値はある。

まとめ:5月20日UTC公開に備えて今日できること

事前告知から公開まで2日しかなく、その後の悪用展開はさらに速いと予想されます。
Drupal運用者が今やるべき行動を整理します。

  • 運用中の全Drupalサイトのバージョン棚卸しを完了させる
  • 日本時間5月21日2〜6時の緊急メンテ要員を確保
  • WAFルールとアクセスログ監視を強化、公開後の検知に備える
  • サポート切れ版もパッチ提供対象、放置せず適用判断する
チップス

夜中対応は大変でしゅけど、攻撃が始まる前に動かなきゃでしゅね!

ボス

うむ、緊急時の動きは普段からの段取りで決まる。今日中に役割を決めておけ。

詳しい情報はDrupal.orgの事前告知PSA-2026-05-18Security NEXTの報道を参照してください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次