結論:Campaign ClassicとColdFusionは「優先度1」=目安72時間以内に適用。そして「誰も触れない古い業務システム」の棚卸しを始める
Adobeは2026年6月9日(米国時間)、月例セキュリティアップデートとして 11件のアドバイザリで計123件の脆弱性 を修正した。今月の主役は2つある。
第一に、マーケティング基盤 Adobe Campaign Classic(APSB26-66) の2件。いずれもCVSSスコア10.0(満点) で、認可不備により ユーザー操作なしで任意コード実行 に至り得るもの(CVE-2026-48303)と、サーバーサイドリクエストフォージェリ(SSRF、CVE-2026-47938)だ。対象はバージョン7.4.3 build 9394以前。CVSS満点が同一製品に2件並ぶのは極めて異例である。
第二に、Adobe ColdFusion(APSB26-64)の7件。最大はCVSS 9.6(CVE-2026-47928) で、不適切な入力検証により任意コード実行につながり得る。対象はColdFusion 2023.19/2025.8以前だ。
両者ともAdobeの適用優先度は最上位の 「優先度1」——悪用リスクが高い区分で、目安72時間以内の適用 が推奨されるレベルだ。執筆時点で実際の悪用は公表されていないが、ColdFusionは過去に実際の攻撃で繰り返し標的になってきた製品であり、今年も別のCritical RCEが修正されたばかりだ(ColdFusion CVE-2026-27304の解説参照)。
そして本題はパッチの先にある。ColdFusionで構築された業務システムの多くは10年以上前のもので、「動いているが、誰も中身を触れない」状態で社内に残っている ことが多い。パッチ通知が来るたびに対応可否すら判断できないなら、それはパッチ運用の問題ではなく、レガシー資産管理の問題 だ。
押さえるべき1点:今回のような「優先度1」通知に72時間で動けない理由が「担当者がいない」「改修できるベンダーがいない」なら、対処すべきはパッチではなくシステムそのものである。
2026年6月Adobe月例の全体像
| 製品(アドバイザリ) | 件数 | 最大CVSS | 適用優先度 | 対応の目安 |
|---|---|---|---|---|
| Campaign Classic(APSB26-66) | 2件 | 10.0(2件とも) | 優先度1 | 72時間以内を目安に適用 |
| ColdFusion(APSB26-64) | 7件 | 9.6(CVE-2026-47928) | 優先度1 | 72時間以内を目安に適用 |
| Acrobat/Reader(APSB26-63) | 20件 | Critical含む | 優先度2 | 計画的に早期適用 |
| その他(Experience Manager、InDesign、Dreamweaver等) | — | 製品により異なる | 製品により異なる | 各アドバイザリ参照 |
Acrobat/Readerについては、JPCERT/CCも6月10日に注意喚起(AT-2026-0018)を公開しており、悪用コンテンツを開くと任意コード実行に至る可能性がある。全社のPCに入っている製品だけに、配布基盤での一斉更新を計画したい。なお同日のMicrosoft月例も史上最多規模であり、全体の優先順位付けはWindows月例パッチ史上最多200件の解説とあわせて確認してほしい。
ColdFusionが「レガシー放置」の代表格である理由
ColdFusionは2000年代から2010年代にかけて、社内向け業務システム——申請ワークフロー、帳票、在庫照会、顧客管理——の開発に広く使われた。問題は、その多くが 構築から10年以上を経て、こういう状態に陥っている ことだ。
- 構築したベンダーが撤退・廃業し、改修先がない
- 社内の担当者が異動・退職し、仕様を知る人がいない
- バージョンアップすると動かなくなる懸念から、サポート切れの古いバージョンのまま塩漬け
- それでも基幹業務が依存しており、止められない
この状態のシステムに「優先度1・72時間以内」のパッチ通知が届いても、対応できる組織はほとんどない。検証環境がなく、影響範囲も分からないからだ。結果として未パッチのまま公開され続け、攻撃者にとって格好の標的になる。脆弱性そのものではなく、「対応できない構造」が本当のリスク なのである。
これは大型汎用機の世界で起きていることと同型だ。ベンダー撤退で移行を迫られるメインフレームの問題は富士通メインフレーム撤退とCOBOL資産のモダナイズで、老朽IT資産の棚卸し手法は老朽化IT資産のインベントリ整備ガイドで解説している。ColdFusionのような「中規模レガシー」は目立たないぶん、棚卸しから漏れやすい。
パッチを入口に「レガシー棚卸し」へ進むチェックリスト
今回のパッチ対応を単発作業で終わらせず、次の6点でレガシー資産の現状を可視化してほしい。
- 所在の把握:ColdFusion/Campaign Classicを含む、ベンダー製ミドルウェア上の業務システムを一覧化したか。野良サーバ・事業部管理のシステムまで含めたか。
- バージョンとサポート状態:各システムの実行基盤のバージョンと、ベンダーサポートの有無・期限を記録したか。
- 保守体制:改修・パッチ適用を依頼できる先(社内/ベンダー)が現存するか。「誰も触れない」システムを特定したか。
- 露出の確認:インターネットからの到達可否、社内ネットワーク上のアクセス制御を確認したか。
- 業務依存度:止まった場合の業務影響と、代替手段の有無を評価したか。
- 処遇の判断:継続(パッチ運用を確立)/隔離(ネットワーク分離で延命)/刷新(モダナイズ)のいずれかを、システムごとに期限付きで決めたか。
チェックの勘所:6で「判断を先送りしたシステム」が翌年も同じ顔ぶれで残るのが典型的な失敗だ。判断者(経営層)と期限を決めない棚卸しは、台帳を作っただけで終わる。
延命かモダナイズか:判断の軸
「動いているものを作り直すのは高い」という直感は、片側のコストしか見ていない。比較すべきは 刷新コスト と、放置の累積コスト——パッチ対応のたびの緊急稼働、サポート切れ基盤の保守料、改修できないことによる業務改善の停滞、そして侵害が起きた場合の事業停止・対外対応コスト——だ。基幹システムの保守期限を巡る同種の判断は、SAP ECC 2027年問題と移行コストの解説や、今週のSAP月例を扱ったSAP6月月例とパッチ滞留リスクの記事でも論じている。共通する結論は一つで、「対応できない構造」を温存したまま守り続けるコストは年々上がる ということだ。
よくある質問(FAQ)
Q. ColdFusionの脆弱性は実際に悪用されているのか? A. 今回修正された7件について、執筆時点で実際の悪用は公表されていない。ただしColdFusionは過去の脆弱性が実際の攻撃に使われてきた経緯のある製品であり、適用優先度1(目安72時間以内)が示すとおり、悪用を待たずに適用すべき区分である。
Q. 古いバージョンのColdFusionを使っており、今回の修正対象に含まれていない。どうすべきか? A. サポート対象外のバージョンには修正が提供されないため、パッチ適用という選択肢自体がない。短期的にはネットワーク分離・アクセス制限で露出を下げつつ、サポート対象への更新またはシステム刷新を期限付きで判断する必要がある。これはパッチ運用ではなくレガシー資産の処遇判断の問題だ。
Q. 改修できるベンダーが見つからない場合、現実的な選択肢は? A. 隔離による延命(ネットワーク分離・アクセス最小化・監視強化)で時間を確保しつつ、業務要件を整理して刷新を計画するのが定石だ。元のソースコードや仕様書が失われていても、現行システムの挙動から要件を復元して再構築するアプローチは確立している。
いつGXOに相談すべきか
- ColdFusion等で構築された「誰も触れない」業務システムが残っており、パッチ対応のたびに綱渡りになっている
- 社内のレガシー資産を棚卸しして、継続・隔離・刷新の判断をつけたい
- 仕様書もベンダーも失われたシステムを、業務を止めずに作り直したい
GXOは、セキュリティ診断による露出・脆弱性の把握と、システム開発によるレガシー業務システムの再構築・モダナイズを一体で支援している。「動いているが触れない」システムは、時間が経つほど選択肢が減る。優先度1のパッチ通知に追われる状態から抜け出したいなら、今が判断のタイミングだ。→ レガシーシステムの棚卸し・刷新相談はこちら
関連記事
- 富士通メインフレーム撤退とCOBOL資産モダナイズの進め方
- 老朽化IT資産のインベントリ整備ガイド
- SAP ECC 2027年問題|S/4HANA移行の費用と進め方
- SAP6月月例のSAML脆弱性CVSS9.9と「塩漬け基幹」のパッチ滞留リスク
参考資料
- Adobe「Security update available for Adobe ColdFusion | APSB26-64」 https://helpx.adobe.com/security/products/coldfusion/apsb26-64.html
- Adobe「Security Bulletins and Advisories」 https://helpx.adobe.com/security/security-bulletin.html
- JPCERT/CC「Adobe AcrobatおよびReaderの脆弱性(APSB26-63)に関する注意喚起(AT-2026-0018)」 https://www.jpcert.or.jp/at/2026/at260018.html
- Zero Day Initiative「The June 2026 Security Update Review」(二次情報) https://www.zerodayinitiative.com/blog/2026/6/9/the-june-2026-security-update-review
本記事は2026年6月11日時点の公開情報をもとに作成。脆弱性の悪用状況・対象バージョンは更新される可能性があるため、Adobeセキュリティ情報およびJPCERT/CCの一次情報の最新版を必ず確認すること。
「誰も触れない業務システム」、何年放置していますか
レガシー資産の棚卸しと露出診断、継続・隔離・刷新の処遇判断、仕様書なきシステムの再構築まで一気通貫で支援します。優先度1のパッチ通知に毎回追われる構造そのものを解消する、現実的なモダナイズ計画を一緒に作ります。
※ 営業電話はしません | オンライン対応可 | 情シス / 経営層同席歓迎