チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Drupalで動いている自社サイト、急ぎパッチを当てなきゃいけないの?」
「Highly Criticalって言われても、まだCVEも公表されていないけど何が危険なの?」
チップスボス、Drupalが緊急で更新するって言ってましゅけど、まだ詳細が出ていないんでしゅか?
ボスうむ、5月18日付の事前告知PSA-2026-05-18で、5月20日17〜21時UTCに公開と予告された。詳細はリリースまで伏せられている。
本記事では、Drupalコアの「Highly Critical」緊急リリースの位置づけと、公開数時間で悪用される可能性を踏まえた優先対応を解説します。
政府機関や大学を含む数百万サイトに影響する重大事案です。
続きを読めば、公開直後に動くべき優先順位と、Drupal Stewardの限界を含めた現実的な防御策が分かります。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
Drupalの「Highly Critical」は最高ランクの脅威評価です。
事前告知の段階で動いている時点で、相当な深刻度を運営側が認識しています。
Drupalセキュリティチームは25点満点中20点の評価を付与しています。
Access Complexityが「None」、Authenticationも「None」とされ、認証情報や前提条件なしで悪用が成立する設計です。
機密性と完全性への影響は最大の評価で、非公開データの読み取りとサイトデータの改ざん・削除が可能になります。
事前告知の評価ポイントは表のとおりです。
| 項目 | 内容 |
|---|---|
| 識別子 | PSA-2026-05-18(事前告知) |
| リスク評価 | 25点満点中20点(Highly Critical) |
| 公開予定 | 2026年5月20日 17〜21時UTC |
| 対象 | Drupal 11.3/11.2/10.6/10.5(および8.9/9.5へのパッチ) |
Drupalチーム自身が、公開後「数時間から数日」で悪用コードが開発される可能性を指摘しています。
過去のSA-CORE-2018-002(通称Drupalgeddon2)でも、パッチ公開から数時間で大規模な攻撃キャンペーンに発展しました。
政府機関や大学、メディアサイトでの利用が多いCMSのため、攻撃者にとっては高価値なターゲットです。
チップス数時間で攻撃が始まるって、寝てる間にやられちゃうかもでしゅか?
ボスうむ、メンテナンス窓口を事前に確保しておけ。日本時間では5月21日午前2〜6時の公開だ。
事前告知の段階で準備できることは多くあります。
パッチ公開を待つだけでなく、検知と封じ込めの体制も整えておくべきです。
有償のクラウド保護「Drupal Steward」は、リリース時に既知の攻撃ベクトルへの保護を即時に提供します。
ただしSteward側でも、コード更新を不要にするものではないと明言されています。
WAFやCDNでの一次防御に加え、最終的にはコアアップデートが必須という前提で動く必要があります。
5月20日のリリースまでに確認すべき項目はこちらです。
サポート終了済みの11.1や10.4、さらにはDrupal 8.9や9.5にもパッチが提供されることが告知されています。
「サポート切れだから無視できる」ではなく、攻撃者にとっては逆に脆弱なまま放置されている可能性が高い格好のターゲットです。
日本企業でも古いバージョンのDrupalで運用中のコーポレートサイトは多く、棚卸しと適用判断を早急に進めるべきです。
チップスサポート切れだから安全だと思っていたけど、むしろ狙われやすいんでしゅね…
ボスうむ、攻撃者は古いバージョンに張り込んで待っているものだ。手動パッチでも当てる価値はある。
事前告知から公開まで2日しかなく、その後の悪用展開はさらに速いと予想されます。
Drupal運用者が今やるべき行動を整理します。
チップス夜中対応は大変でしゅけど、攻撃が始まる前に動かなきゃでしゅね!
ボスうむ、緊急時の動きは普段からの段取りで決まる。今日中に役割を決めておけ。
詳しい情報はDrupal.orgの事前告知PSA-2026-05-18とSecurity NEXTの報道を参照してください。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
