お問い合わせDrupal Coreで約7年ぶりの「Highly critical」予告。深刻な脆弱性に企業サイト担当者が今すぐ確認すべきこと
井上 賢太郎
Drupal.org の PSA-2026-05-18 において、Drupal Core に関する Highly critical のセキュリティリリースが予告されました。
正式なセキュリティリリースは、 日本時間 2026年5月21日(木)2:00〜6:00 に公開される予定です。
Drupal Security Team は今回の予告で、 公開後、数時間から数日以内に攻撃手法が開発される可能性がある と説明し、事前に更新対応のための時間を確保するよう強く推奨しています。
また今回の脆弱性は、特定の条件や構成を満たす Drupal サイトが影響対象となる可能性があると説明されています。
どの条件・構成が該当するかは、正式なセキュリティアドバイザリ公開後に示される見込みです。 そのため現時点では、自社サイトが対象だった場合に、速やかに判断・更新できる状態を整えておくことが重要です。
Drupal を利用して企業サイトや業務システムを運用している組織にとって、今回の告知は軽視できません。
本記事では、今回の予告の概要と、企業のWeb担当者・情報システム担当者が今すぐ確認すべきポイントを整理します。
Drupal Coreに対するHighly criticalの事前告知
PSA-2026-05-18 の告知内容 を整理すると、主なポイントは以下の通りです。
| 項目 | 内容 |
|---|---|
| 対象 | Drupal Core |
| 公開予定 | 2026年5月20日 17:00〜21:00 UTC |
| 日本時間 | 2026年5月21日(木)2:00〜6:00 |
| リスク評価 | Highly critical 20/25 |
| 影響範囲 | 特定の条件や構成を満たすサイトが対象となる可能性 |
| 詳細公開 | 正式なセキュリティアドバイザリ公開時 |
| 事前準備 | アップデート対応の時間確保を強く推奨 |
Drupal Security Team は、正式なリリース前の段階で、 攻撃手法が短期間で開発される可能性 に言及しています。
このような事前告知が出た場合、企業側は「公開後に確認すればよい」と構えるのではなく、 公開直後に自社サイトの影響有無を判断し、必要ならすぐに更新できる体制 を整えておく必要があります。
「Highly critical 20/25」とは何を意味するのか
Drupal Security Team は、セキュリティ上の深刻度を単に「Critical」「Highly critical」といった名称だけで示しているわけではありません。
Drupal Security Team のリスク評価基準 では、攻撃のしやすさ、認証の要否、情報漏えいや改ざんの影響範囲、既知の攻撃状況、影響対象の広さ を複数の観点で評価し、総合スコアを算出しています。
今回の事前告知では、次のような評価が示されています。
Highly critical 20/25
AC:None / A:None / CI:All / II:All / E:Theoretical / TD:Uncommon
まず、特に注目すべきなのは以下の4項目です。
| 評価項目 | 何を表すか | 今回の評価 | 今回の意味 |
|---|---|---|---|
| AC | Attack Complexity:攻撃成立の難しさ | None | 攻撃に複雑な前提条件を必要としない |
| A | Authentication:攻撃に認証が必要か | None | ログインしていない第三者から攻撃される可能性がある |
| CI | Confidentiality Impact:情報漏えいへの影響 | All | 影響対象サイトでは、機密情報への影響が最大級となる可能性がある |
| II | Integrity Impact:改ざん・破壊への影響 | All | 影響対象サイトでは、データ改ざんや破壊の影響が最大級となる可能性がある |
これを平たく言えば、 対象条件に該当したサイトでは、認証なしの攻撃によって、情報漏えいやデータ改ざんに極めて大きな影響が及ぶ可能性がある という評価です。
一方で、今回の評価には次の2項目も含まれています。
| 評価項目 | 何を表すか | 今回の評価 | 今回の意味 |
|---|---|---|---|
| E | Exploit:攻撃コードや悪用状況 | Theoretical | 事前告知時点では、具体的な攻撃コードの確認までは示されていない |
| TD | Target Distribution:影響対象の広さ | Uncommon | 影響を受けるのは、一般的なすべてのDrupalサイトではなく、特定の条件・構成に該当するサイトである可能性が高い |
したがって今回の事案は、
影響対象となるサイトは限定される可能性がある一方で、該当した場合の被害規模は極めて大きくなり得る
という性質を持っています。
Drupal Security Team は、まさにこの性質を踏まえて、正式公開前から対応準備を呼びかけています。
企業サイト担当者は、 「自社は対象外かもしれない」と待つのではなく、「対象だった場合に即応できるか」を基準に準備すること が重要です。
2019年のHighly criticalでは、公開後に実際の攻撃が拡大した
Drupal Core における Highly critical のセキュリティ案件は、頻繁に発生するものではありません。
近年の重要な前例として挙げられるのが、 2019年2月20日に公開された SA-CORE-2019-003 です。
これは CVE-2019-6340 として管理された、 Remote Code Execution に関する脆弱性で、リスク評価は Highly critical 23/25 でした。
この2019年の事案では、Drupal.org が 追加の注意喚起 を出し、公開 exploit が利用可能になったこと、さらに 2019年2月25日時点で大規模な悪用が報告されていること を公表しました。
つまり、Drupal Core の Highly critical は、単に「評価が高い」というだけでなく、 公開後の短期間で実際の攻撃が広がり得る前例がある ということです。
実際の改ざん被害
2019年の脆弱性対応では、 実際に改ざん被害としてドクロ画像や、特定のメッセージが表示される といったDrupalサイトを拝見したことがあります。
脆弱性の公開後、攻撃者が短期間で悪用を進めると、企業サイトは単なる「技術的な問題」にとどまらず、 信用毀損や顧客対応を伴うインシデント に発展する可能性があります。
今回の PSA-2026-05-18 について、現時点では脆弱性の詳細は未公開であり、 2019年と同じ種類の被害が発生すると断定することはできません。
ただし、
- 事前告知が行われている
- セキュリティリスクが Highly critical 20/25
- 攻撃手法が公開後数時間〜数日以内に開発される可能性が示されている
という点を踏まえると、 今回も「公開後に状況を見てから考える」のではなく、公開直後に判断・対応できる準備を進めるべき事案 です。
現在のDrupal Coreバージョンによって、事前に必要な対応が異なる
今回の予告で特に重要なのは、 現在利用している Drupal Core のバージョンによって、公開前に取るべき準備が異なる ことです。
Drupal.org の案内 を整理すると、対応の考え方は次の通りです。
| 現在のDrupal Coreバージョン | セキュリティリリース公開前に確認・実施すべきこと |
|---|---|
| 11.3.x / 11.2.x / 10.6.x / 10.5.x | 同一系列の最新パッチ版へ事前更新 |
| 11.1.x / 11.0.x | 少なくとも 11.1.9 へ更新 |
| 10.4.x / 10.3.x / 10.2.x / 10.1.x / 10.0.x | 少なくとも 10.4.9 へ更新 |
| 9.x | 9.5.11 へ更新 |
| 8.x | 8.9.20 へ更新 |
現在サポート対象となっている、
- Drupal 11.3.x
- Drupal 11.2.x
- Drupal 10.6.x
- Drupal 10.5.x
については、正式なセキュリティリリースが提供される予定です。
これらのサイトは、 公開前に同一系列の最新パッチ版まで更新しておくこと が推奨されています。
一方で、
- Drupal 11.1.x / 11.0.x
- Drupal 10.4.x / 10.3.x / 10.2.x / 10.1.x / 10.0.x
については、通常はサポート対象外のリリースですが、今回の深刻度を踏まえ、 例外的に修正版が提供される予定です。
ただし Drupal.org は、これらのサイトについても、今回の対応にとどまらず、 サポート対象系列への移行を進めるべき と案内しています。
さらに Drupal 9 と Drupal 8 はすでにサポート終了済みであり、 通常のセキュリティリリースは提供されません。
今回に限り、Drupal 9.5 と Drupal 8.9 向けの手動パッチファイル が提供される予定ですが、適用後の動作は保証されず、不具合が生じる可能性があるとされています。
「正式公開後に確認すればよい」では遅れる可能性がある
今回の件で特に注意すべきなのは、 正式なセキュリティアドバイザリが出てから準備を始めるのでは遅れる可能性がある という点です。
セキュリティリリース公開後には、短時間で次の判断が必要になります。
- 自社サイトが影響対象となる条件・構成に該当するかを確認する
- どの修正版・パッチを適用すべきか判断する
- 社内や顧客と対応方針を共有する
- 検証環境で確認する
- 本番へ反映する
しかし、公開後に初めて、
- 現在の Drupal Core バージョンを確認する
- どの系統に該当するのか整理する
- 更新手順を検討する
- 顧客承認を取りに行く
- 対応担当者を決める
という状況では、初動が遅れます。
今回、Drupal Security Team は、 攻撃手法が公開後数時間から数日以内に開発される可能性 に言及しています。
対象条件に該当するサイトだった場合、 判断と対応の遅れが、そのままリスクの増大につながる と考えるべきです。
日本時間では深夜公開。朝対応か、即時対応かの判断も必要
今回の正式リリースは、 日本時間 2026年5月21日(木)2:00〜6:00 に公開される予定です。
日本企業の通常勤務時間外にあたるため、運用現場では次のような判断が必要になります。
- 公開直後に深夜対応するのか
- 朝一で内容確認と適用判断を行うのか
- その数時間の未対応リスクを、社内や顧客にどう説明するのか
今回のように、脆弱性の詳細が公開後まで明かされず、かつ攻撃手法が早期に開発される可能性が示されている場合、 「営業時間になってから考える」ではなく、事前に対応方針を決めておくこと が重要です。
Drupal Stewardを利用していても、アップデートは必要
今回の PSA では、Drupal Steward によって既知の攻撃経路は保護されている と説明されています。
ただし同時に、 追加の攻撃経路が発見される可能性があるため、近いうちにアップグレードすべき とも明記されています。
つまり、Drupal Steward は今回の脆弱性に対する重要な緩和策ではあるものの、 脆弱性そのものを恒久的に解消するものではありません。
Steward を利用している場合でも、正式な修正版が出た後は、 アップデート適用を前提に判断する必要があります。
今回の事案は「Drupal保守体制」の差が出る
Drupal のセキュリティ対応は、単に「アップデートを適用する作業」ではありません。
本当に重要なのは、
- 現在の Core バージョンをすぐに把握できるか
- サポート対象外の系列を放置していないか
- 緊急アドバイザリの内容を読み解けるか
- 自社サイトが影響対象となる条件・構成に該当するか判断できるか
- 顧客や社内関係者にリスクを説明できるか
- 深夜・休日を含めた対応方針を持っているか
- 本番反映までの手順を平時から整備しているか
です。
今回のような事案は、 平時の保守品質だけでなく、緊急時の判断力と運用体制が問われる場面 です。
こんな企業は、今すぐ確認をおすすめします
以下に一つでも該当する場合は、今回の件を機に、自社の Drupal 保守体制を確認することをおすすめします。
- 自社サイトの Drupal Core バージョンをすぐに答えられない
- Drupal 8 または Drupal 9 を継続利用している
- セキュリティリリース発生時の対応フローが決まっていない
- 緊急アップデートを誰が判断するのか明確でない
- テスト環境や本番反映手順が整っていない
- 保守会社から今回の PSA-2026-05-18 について案内が来ていない
- Drupal の更新を「必要になったらその都度」としており、継続的な保守体制を持っていない
自社Drupalサイトの対応に不安がある場合は、無料相談をご活用ください
今回のような緊急セキュリティ対応では、まず次の点を整理する必要があります。
- 自社サイトがどの Drupal Core バージョンで稼働しているか
- 公開前にどの事前更新が必要か
- 正式なセキュリティリリース公開後、どのような判断が必要か
- 自社サイトが影響対象となる条件・構成に該当した場合、短時間で確認と反映が可能か
- Drupal 8 / 9 など古いバージョンを利用している場合、今回どのような制約があるか
こうした確認を社内だけで進めるのが難しい場合は、 モチヤの Drupal無料相談 をご活用ください。
モチヤでは、Drupal導入・運用・保守に関する悩みを対象に、 60分間の無料オンライン相談 を提供しています。
既存サイトの課題、セキュリティへの不安、バージョンアップ方針、運用体制の見直しなどについて、 Drupal専門家が状況を整理し、必要な考え方をご説明します。
特に、
- 今回の PSA-2026-05-18 に対して、自社サイトで何を確認すべきか分からない
- 現在の保守会社から十分な案内が来ておらず不安がある
- Drupal 8 / 9 / 古い10系を使い続けている
- 緊急セキュリティリリース時の対応体制を見直したい
といった場合は、まず状況整理からご相談ください。
モチヤのDrupal無料相談 は、60分間・オンライン対応で実施しています。
まとめ
今回の Drupal Core セキュリティリリース予告は、通常の更新案内よりも重く受け止めるべき内容です。
- Highly critical 20/25
- 正式公開は日本時間 2026年5月21日(木)2:00〜6:00
- 公開後、数時間〜数日以内に攻撃手法が開発される可能性
- 特定の条件や構成を満たす Drupal サイトが影響対象となる可能性
- 現在の Drupal Core バージョンによって、事前準備が異なる
- 影響対象だった場合にすぐ動けるかどうかが重要
正式なアドバイザリが公開されてから慌てるのではなく、 今の時点で自社サイトのバージョンと対応体制を確認しておくこと が、最も現実的なリスク低減策です。
自社サイトの対応方針に不安がある場合は、専門家への相談も選択肢に入れてください。
モチヤの Drupal無料相談 では、今回のような緊急セキュリティ対応を含め、Drupal運用に関する課題整理を支援しています。
参考情報
井上 賢太郎/ アシスタント
様々な業務のお手伝いをしています。地元の新潟や海外からリモート勤務をしています。得意なことは格闘全般です。
