Oracle Java SE(JDK/JRE)の2026年4月 Critical Patch Update(CPU)が2026年4月22日に公開された。11件のCVEを修正し、うち7件はリモートから認証不要でネットワーク越しに悪用できる脆弱性だ。対象はJava SE 8から26まで広範にわたり、リリースから2か月が経過した今も未適用の環境が残っていないか、情シスとして今一度確認が必要である。
この記事でわかること
- 2026年4月CPUで修正されたOracle Java SEの脆弱性11件の概要
- 影響を受けるバージョンと修正バージョン(Java 8/11/17/21/25/26対応)
- 情シスが取るべき対応ステップ
何が起きたのか
Oracleは四半期ごとにCritical Patch Update(CPU)を公開している。2026年4月のCPUはJava SE(JavaFX含む)に対して11件のCVEを修正した。IPA(情報処理推進機構)も同日に重要なセキュリティ情報として注意を呼びかけており、組織的な対応が求められている。
特に注目すべきは、7件がネットワーク経由で認証不要のリモート悪用が可能な脆弱性であること。悪用に成功した場合、「アプリケーションの異常終了」「攻撃者によるコンピュータの制御」などの被害につながるリスクがある。
修正された脆弱性の概要
| CVE番号 | CVSSスコア | 主な概要 | リモート悪用 |
|---|---|---|---|
| CVE-2026-20652 | 7.5 | (詳細非公開・最高深刻度) | 可 |
| CVE-2026-22016 | 7.5 | (詳細非公開・最高深刻度) | 可 |
| CVE-2026-34282 | 7.5 | (詳細非公開・最高深刻度) | 可 |
| CVE-2026-22008 | 非公開 | Librariesコンポーネント。複数プロトコル経由でデータ不正書き換えの恐れ | 可 |
| CVE-2026-22003 | 非公開 | (詳細非公開) | 可 |
| CVE-2026-22021 | 非公開 | (詳細非公開) | 可 |
| CVE-2026-22013 | 非公開 | (詳細非公開) | 可 |
| CVE-2026-23865 | 非公開 | (詳細非公開) | 非公開 |
| CVE-2026-22018 | 非公開 | (詳細非公開) | 非公開 |
| CVE-2026-22007 | 非公開 | (詳細非公開) | 非公開 |
| CVE-2026-34268 | 非公開 | (詳細非公開) | 非公開 |
出典: Security NEXT, IPA注意喚起(2026年4月22日)。CVSSスコアはOracle公式アドバイザリ記載値。詳細が公開されていない項目は「非公開」と記載。
影響を受けるバージョンと修正バージョン
今回のCPUは現在Oracleがサポートしているすべてのメジャーバージョンが対象となっている。
| 製品 | 影響を受けるバージョン | 修正バージョン |
|---|---|---|
| Oracle Java SE(JDK/JRE) | 8 Update 481以前 | 8 Update 491 |
| Oracle Java SE(JDK/JRE) | 11.0.30以前 | 11.0.31 |
| Oracle Java SE(JDK/JRE) | 17.0.18以前 | 17.0.19 |
| Oracle Java SE(JDK/JRE) | 21.0.10以前 | 21.0.11 |
| Oracle Java SE(JDK/JRE) | 25.0.2以前、26 | 25.0.3、26.0.1 |
| Oracle GraalVM | 25.0.2以前、21.0.9以前、17.0.18以前、11.0.30以前、8u481以前 | 各最新版 |
| GraalVM Enterprise Edition | 21.3.17以前 | 21.3.18 |
LTS(長期サポート)バージョンであるJava 8・11・17・21はいずれも影響対象であり、エンタープライズ環境での利用が特に多いこれらのバージョンを優先的に確認したい。
想定されるリスク
Java SE環境が悪用された場合に想定される主なリスクは次のとおりだ。
- サービス停止(DoS): アプリケーションプロセスの異常終了によるシステム停止
- 情報漏えい: メモリ内の機密データへの不正アクセス
- データ改ざん: CVE-2026-22008など、データの不正書き換えにつながる脆弱性
- 任意コード実行(間接的リスク): 最高CVSSスコア7.5の脆弱性が3件あり、悪用チェーンによるリモートコード実行リスクも否定できない
リモートから認証不要で悪用できる7件は、インターネットからアクセス可能なサービスで稼働しているJava環境において特に深刻だ。
情シスはどうすべきか
基本的な対応方針はIPAの注意喚起に準じる。早急に最新版へアップデートすることが最優先だ。
確認・対応ステップ
- Java環境の棚卸し: 組織内に稼働しているJDK/JRE/GraalVMのバージョンを全て洗い出す。特に野良インストール・開発用端末・組み込みJava(帳票システム、業務パッケージに同梱)に注意。
- インターネット公開環境を最優先: Webアプリケーションサーバや外部公開APIサーバは、認証不要でリモート悪用される危険があるため即時対応する。
- バージョン更新: 上記の修正バージョン一覧に基づき、各環境をアップデートする。Oracle公式(https://www.oracle.com/java/technologies/downloads/)またはOpenjdk系ディストリビューションのリリースページからダウンロード可能。
- アプリケーション互換性テスト: バージョン更新後、既存アプリケーションの動作を確認する(特にJava 8→11など大幅なバージョンアップ時は注意)。今回のCPUはマイナーアップデートのため大きな非互換は少ないが、本番環境への適用前に検証を行うこと。
- サポート終了バージョンの廃止検討: Java 8はOracleの有償延長サポート(EoSL)を除き、EOLに近づいている。Java 21 LTSへの移行を計画的に進めることが中長期の重要課題だ。
IPAの注意喚起と対策ガイドラインは次のリンクから参照できる。
→ IPA: Oracle Java の脆弱性対策について(2026年4月)
現場目線の所感
今回のCPUで改めて痛感させられるのが、「Javaは管理が難しい」という現実だ。OSやブラウザと異なり、JavaはOSの自動更新の対象外であることが多く、各アプリケーションがJDKを内包して配布していることも珍しくない。帳票サーバや古い業務システムにバンドルされた古いJREが、ひっそりと脆弱なまま稼働しているケースは情シスとして経験のある方も多いだろう。
「インターネット非公開だから大丈夫」という考え方も危険だ。イントラネット内の業務システムであっても、侵入した攻撃者にとっては格好の横展開(ラテラルムーブメント)の踏み台になりえる。四半期CPUのたびに棚卸しを繰り返す手間はかかるが、地道なバージョン管理の習慣が組織のリスク低減につながる。
まとめ
- Oracle Java SE の2026年4月CPUで11件のCVEを修正。うち7件はリモートから認証不要で悪用可能。
- Java 8/11/17/21/25/26が影響対象。修正バージョンへの早期適用が必要だ。
- 社内のJava環境は「見えていない端末・組み込みJava」が盲点になりやすい。今回を機に全棚卸しを実施することを推奨する。
