結論:Campaign ClassicとColdFusionは「優先度1」=目安72時間以内に適用。そして「誰も触れない古い業務システム」の…
Adobeは2026年6月9日(米国時間)、月例セキュリティアップデートとして 11件のアドバイザリで計123件の脆弱性 を修正した。今月の主役は2つある。
第一に、マーケティング基盤 Adobe Campaign Classic(APSB26-66) の2件。いずれもCVSSスコア10.0(満点) で、認可不備により ユーザー操作なしで任意コード実行 に至り得るもの(CVE-2026-48303)と、サーバーサイドリクエストフォージェリ(SSRF、CVE-2026-47938)だ。対象はバージョン7.4.3 build 9394以前。CVSS満点が同一製品に2件並ぶのは極めて異例である。
第二に、Adobe ColdFusion(APSB26-64)の7件。最大はCVSS 9.6(CVE-2026-47928) で、不適切な入力検証により任意コード実行につながり得る。対象はColdFusion 2023.19/2025.8以前だ。
両者ともAdobeの適用優先度は最上位の 「優先度1」——悪用リスクが高い区分で、目安72時間以内の適用 が推奨されるレベルだ。執筆時点で実際の悪用は公表されていないが、ColdFusionは過去に実際の攻撃で繰り返し標的になってきた製品であり、今年も別のCritical RCEが修正されたばかりだ(ColdFusion CVE-2026-27304の解説参照)。
そして本題はパッチの先にある。ColdFusionで構築された業務システムの多くは10年以上前のもので、「動いているが、誰も中身を触れない」状態で社内に残っている ことが多い。パッチ通知が来るたびに対応可否すら判断できないなら、それはパッチ運用の問題ではなく、レガシー資産管理の問題 だ。
押さえるべき1点:今回のような「優先度1」通知に72時間で動けない理由が「担当者がいない」「改修できるベンダーがいない」なら、対処すべきはパッチではなくシステムそのものである。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
2026年6月Adobe月例の全体像
| 製品(アドバイザリ) | 件数 | 最大CVSS | 適用優先度 | 対応の目安 |
|---|---|---|---|---|
| Campaign Classic(APSB26-66) | 2件 | 10.0(2件とも) | 優先度1 | 72時間以内を目安に適用 |
| ColdFusion(APSB26-64) | 7件 | 9.6(CVE-2026-47928) | 優先度1 | 72時間以内を目安に適用 |
| Acrobat/Reader(APSB26-63) | 20件 | Critical含む | 優先度2 | 計画的に早期適用 |
| その他(Experience Manager、InDesign、Dreamweaver等) | — | 製品により異なる | 製品により異なる | 各アドバイザリ参照 |
Acrobat/Readerについては、JPCERT/CCも6月10日に注意喚起(AT-2026-0018)を公開しており、悪用コンテンツを開くと任意コード実行に至る可能性がある。全社のPCに入っている製品だけに、配布基盤での一斉更新を計画したい。なお同日のMicrosoft月例も史上最多規模であり、全体の優先順位付けはWindows月例パッチ史上最多200件の解説とあわせて確認してほしい。
ColdFusionが「レガシー放置」の代表格である理由
ColdFusionは2000年代から2010年代にかけて、社内向け業務システム——申請ワークフロー、帳票、在庫照会、顧客管理——の開発に広く使われた。問題は、その多くが 構築から10年以上を経て、こういう状態に陥っている ことだ。
-
構築したベンダーが撤退・廃業し、改修先がない
-
社内の担当者が異動・退職し、仕様を知る人がいない
-
バージョンアップすると動かなくなる懸念から、サポート切れの古いバージョンのまま塩漬け
-
それでも基幹業務が依存しており、止められない
この状態のシステムに「優先度1・72時間以内」のパッチ通知が届いても、対応できる組織はほとんどない。検証環境がなく、影響範囲も分からないからだ。結果として未パッチのまま公開され続け、攻撃者にとって格好の標的になる。脆弱性そのものではなく、「対応できない構造」が本当のリスク なのである。
これは大型汎用機の世界で起きていることと同型だ。ベンダー撤退で移行を迫られるメインフレームの問題は富士通メインフレーム撤退とCOBOL資産のモダナイズで、老朽IT資産の棚卸し手法は老朽化IT資産のインベントリ整備ガイドで解説している。ColdFusionのような「中規模レガシー」は目立たないぶん、棚卸しから漏れやすい。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
パッチを入口に「レガシー棚卸し」へ進むチェックリスト
今回のパッチ対応を単発作業で終わらせず、次の6点でレガシー資産の現状を可視化してほしい。
-
所在の把握:ColdFusion/Campaign Classicを含む、ベンダー製ミドルウェア上の業務システムを一覧化したか。野良サーバ・事業部管理のシステムまで含めたか。
-
バージョンとサポート状態:各システムの実行基盤のバージョンと、ベンダーサポートの有無・期限を記録したか。
-
保守体制:改修・パッチ適用を依頼できる先(社内/ベンダー)が現存するか。「誰も触れない」システムを特定したか。
-
露出の確認:インターネットからの到達可否、社内ネットワーク上のアクセス制御を確認したか。
-
業務依存度:止まった場合の業務影響と、代替手段の有無を評価したか。
-
処遇の判断:継続(パッチ運用を確立)/隔離(ネットワーク分離で延命)/刷新(モダナイズ)のいずれかを、システムごとに期限付きで決めたか。
チェックの勘所:6で「判断を先送りしたシステム」が翌年も同じ顔ぶれで残るのが典型的な失敗だ。判断者(経営層)と期限を決めない棚卸しは、台帳を作っただけで終わる。
延命かモダナイズか:判断の軸
「動いているものを作り直すのは高い」という直感は、片側のコストしか見ていない。比較すべきは 刷新コスト と、放置の累積コスト——パッチ対応のたびの緊急稼働、サポート切れ基盤の保守料、改修できないことによる業務改善の停滞、そして侵害が起きた場合の事業停止・対外対応コスト——だ。基幹システムの保守期限を巡る同種の判断は、SAP ECC 2027年問題と移行コストの解説や、今週のSAP月例を扱ったSAP6月月例とパッチ滞留リスクの記事でも論じている。共通する結論は一つで、「対応できない構造」を温存したまま守り続けるコストは年々上がる ということだ。
実務判断のポイント
この記事を読むべきなのは、経営者、情シス、業務責任者、発注担当です。単に情報を把握するだけでなく、要件定義、RFP作成、見積比較、レガシー刷新、業務システム再構築の相談に進めるべきかを判断するための材料として整理する必要があります。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。CVSS満点10.0が2件|Adobe月例—古いColdFusion業務システムが今も狙われる「レガシー放置」の代償に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
システム開発の成否は開発会社選びの前に、業務要件、既存データ、運用責任、段階移行をどこまで整理できるかで決まる。
GXOは見積比較だけでなく、発注前の論点整理とRFP設計が手戻りと追加費用を減らすと見る。
GXOが提供できる価値は、業務整理、要件定義、RFP、開発、保守、レガシー刷新まで接続できる。 ことです。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、要件整理から開発、保守、段階移行ロードマップへ接続。さらに、標準ヒアリングと既存診断を使い、発注前相談から開発案件へ展開。
相談につながる進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問(FAQ)
Q. ColdFusionの脆弱性は実際に悪用されているのか? A. 今回修正された7件について、執筆時点で実際の悪用は公表されていない。ただしColdFusionは過去の脆弱性が実際の攻撃に使われてきた経緯のある製品であり、適用優先度1(目安72時間以内)が示すとおり、悪用を待たずに適用すべき区分である。
Q. 古いバージョンのColdFusionを使っており、今回の修正対象に含まれていない。どうすべきか? A. サポート対象外のバージョンには修正が提供されないため、パッチ適用という選択肢自体がない。短期的にはネットワーク分離・アクセス制限で露出を下げつつ、サポート対象への更新またはシステム刷新を期限付きで判断する必要がある。これはパッチ運用ではなくレガシー資産の処遇判断の問題だ。
Q. 改修できるベンダーが見つからない場合、現実的な選択肢は? A. 隔離による延命(ネットワーク分離・アクセス最小化・監視強化)で時間を確保しつつ、業務要件を整理して刷新を計画するのが定石だ。元のソースコードや仕様書が失われていても、現行システムの挙動から要件を復元して再構築するアプローチは確立している。
いつGXOに相談すべきか
-
ColdFusion等で構築された**「誰も触れない」業務システムが残っており**、パッチ対応のたびに綱渡りになっている
-
社内のレガシー資産を棚卸しして、継続・隔離・刷新の判断をつけたい
-
仕様書もベンダーも失われたシステムを、業務を止めずに作り直したい
GXOは、セキュリティ診断による露出・脆弱性の把握と、システム開発によるレガシー業務システムの再構築・モダナイズを一体で支援している。「動いているが触れない」システムは、時間が経つほど選択肢が減る。優先度1のパッチ通知に追われる状態から抜け出したいなら、今が判断のタイミングだ。→ レガシーシステムの棚卸し・刷新相談はこちら
関連記事
参考資料
-
Adobe「Security update available for Adobe ColdFusion | APSB26-64」 https://helpx.adobe.com/security/products/coldfusion/apsb26-64.html
-
Adobe「Security Bulletins and Advisories」 https://helpx.adobe.com/security/security-bulletin.html
-
JPCERT/CC「Adobe AcrobatおよびReaderの脆弱性(APSB26-63)に関する注意喚起(AT-2026-0018)」 https://www.jpcert.or.jp/at/2026/at260018.html
-
Zero Day Initiative「The June 2026 Security Update Review」(二次情報) https://www.zerodayinitiative.com/blog/2026/6/9/the-june-2026-security-update-review
本記事は2026年6月11日時点の公開情報をもとに作成。脆弱性の悪用状況・対象バージョンは更新される可能性があるため、Adobeセキュリティ情報およびJPCERT/CCの一次情報の最新版を必ず確認すること。
「誰も触れない業務システム」、何年放置していますか
レガシー資産の棚卸しと露出診断、継続・隔離・刷新の処遇判断、仕様書なきシステムの再構築まで一気通貫で支援します。優先度1のパッチ通知に毎回追われる構造そのものを解消する、現実的なモダナイズ計画を一緒に作ります。
※ 営業電話はしません | オンライン対応可 | 情シス / 経営層同席歓迎
参考情報
- 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。







