Drupal Coreで約7年ぶりとなる「Highly critical」級脆弱性、モチヤが利用企業へDB種別と対応状況の緊急確認を呼びかけ

モチヤ株式会社は、Drupal.org が公開した Drupal Core の公式セキュリティ勧告 SA-CORE-2026-004 を受け、Drupal を利用する企業・団体に対し、特に PostgreSQL データベースを利用している Drupal サイトについて、早急な影響確認とアップデート対応状況の確認を呼びかけます。 

今回の脆弱性は CVE-2026-9082 として管理される SQL injection で、Drupal.org によるリスク評価は Highly critical 20/25 です。Drupal.org は、PostgreSQL を利用しているサイトにおいて、細工されたリクエストにより任意の SQL injection が発生する可能性があり、情報漏えい、場合によっては権限昇格、リモートコード実行、その他の攻撃につながる可能性があると説明しています。また、この脆弱性は匿名ユーザーから悪用可能とされています。(Drupal.org)

今回の SQL injection 脆弱性は、PostgreSQL を利用している Drupal サイトに影響します。一方で、PostgreSQL 以外のデータベースを利用しているサイトについても、通常のセキュリティアップデートとして、今回の Drupal Core リリース内容と対応方針を確認することが推奨されます。

モチヤでは、正式なセキュリティ勧告公開前の段階から、今回の予告内容、リスク評価の意味、過去の重大脆弱性事例、バージョン別に必要となる事前対応について解説記事を公開してきました。今回の正式発表を受け、Drupal 利用企業に対して、改めて早急な確認を促します。

関連解説記事： 

Drupal Coreで約7年ぶりの「Highly critical」予告。深刻な脆弱性に企業サイト担当者が今すぐ確認すべきこと 

 PostgreSQL利用Drupalサイトに影響するSQL injection脆弱性が正式公開 

Drupal.org は、Drupal Core に関する公式セキュリティ勧告 SA-CORE-2026-004 を公開しました。

公開されたセキュリティ勧告の概要

今回の件は、事前告知時点で Highly critical 20/25 と評価されていた重大案件です。Drupal Core の Highly critical 級セキュリティ勧告としては、2019年の SA-CORE-2019-003 以来、約7年ぶりの重大案件として注目されていました。

モチヤでは、その異例性と、公開後の初動が重要になる点について、事前解説記事で整理していました。

関連解説記事： 

Drupal Coreで約7年ぶりの「Highly critical」予告。深刻な脆弱性に企業サイト担当者が今すぐ確認すべきこと

 PostgreSQL利用サイトで案内・対応方針がない場合は、早急な確認が必要です 

本発表は、Drupal.org による正式なセキュリティ勧告公開後に行っています。

つまり、この記事を目にしている時点で、今回の脆弱性に関する正式情報と、必要な対応内容はすでに公表されています。

特に、PostgreSQL を利用している Drupal サイトにおいて、

•  今回の脆弱性に関する連絡を、運用担当者・委託先から受けていない 

• 自社サイトが PostgreSQL を利用しているかどうか確認できていない 

• 自社サイトが影響対象かどうかの説明を受けていない 

• アップデートや緩和策の実施有無が分からない 

• 対応予定日時が提示されていない 

という場合は、早急に現在の Drupal サイトの保守・運用を担う社内担当者または外部委託先へ確認することを推奨します。

自社サイトが PostgreSQL を利用しており、対象バージョンに該当するにもかかわらず、必要なアップデートや緩和策の実施が進んでいない場合、サイトが脆弱性に晒された状態となっている可能性があります。

PostgreSQL 以外のデータベースを利用している Drupal サイトについても、通常のセキュリティアップデートとして今回の Drupal Core リリース内容と対応方針を確認することをおすすめします。

 Drupal利用企業が今すぐ確認すべきこと：DB種別、Coreバージョン、対応状況 

Drupal を利用している企業・団体では、少なくとも以下の点を早急に確認する必要があります。

1.  自社サイトのデータベースが PostgreSQL か、MySQL / MariaDB かを確認する 

2. Drupal Core の現在バージョンを確認する 

3. PostgreSQL の場合、SA-CORE-2026-004 の直接影響対象として即時対応状況を確認する 

4. PostgreSQL以外の場合も、通常のセキュリティアップデートとして今回のリリース内容と対応方針を確認する 

5. 運用担当者・委託先から説明・対応予定が出ているか確認する 

今回の正式勧告を受けて、技術的背景やリスク評価の読み解きを確認したい担当者は、モチヤが事前に公開した解説記事もあわせてご参照ください。

関連解説記事： 

Drupal Coreで約7年ぶりの「Highly critical」予告。深刻な脆弱性に企業サイト担当者が今すぐ確認すべきこと 

 現在の運用担当者・委託先に直ちに確認すべき4つの質問 

今回のような重大なセキュリティ勧告では、社内の運用担当者や外部委託先が、影響有無を判断し、関係者へ説明し、必要なアップデート対応まで進められるかが重要になります。

Drupal サイトを保有する企業担当者は、現在の運用担当者・委託先に対して、少なくとも以下の4点を確認することをおすすめします。

 1. 自社サイトのデータベースは PostgreSQL ですか。MySQL / MariaDB ですか。 

今回の SQL injection 脆弱性は、PostgreSQL を利用している Drupal サイトに直接影響します。まず、自社サイトのデータベース種別を確認してください。

 2. 自社サイトは SA-CORE-2026-004 の影響対象バージョン・構成に該当しますか。 

Drupal Core のバージョンとサイト構成を踏まえ、公式セキュリティ勧告の影響対象に該当するか確認してください。

 3. 該当する場合、アップデートまたは必要な緩和策はすでに実施済みですか。未実施の場合、いつ実施しますか。 

未実施の場合は、いつ実施するのか、実施までのリスクをどのように管理するのかまで確認してください。

 4. PostgreSQL以外の場合も、今回のDrupal Coreリリースに対する通常のセキュリティアップデート方針は決まっていますか。 

PostgreSQL 以外のサイトであっても、通常のセキュリティアップデートとして、今回のリリース内容と対応方針を確認することをおすすめします。

 重大な脆弱性では、「技術力」だけでなく「即応できる保守体制」が問われます 

Drupal サイトの安全な運用には、平時の開発力だけでなく、

•  セキュリティ情報を継続的に監視する力 

• 公式セキュリティ勧告を速やかに読み解く力 

• 自社・顧客サイトへの影響を判断する力 

• 必要なアップデートや緩和策を短時間で実施する体制 

• 関係者に対してリスクと対応方針を説明する力 

が求められます。

今回の SA-CORE-2026-004 は、Drupal サイトそのものの影響確認に加え、現在の保守・運用体制が重大インシデントに即応できるかを点検する機会でもあります。

正式情報の公開後も、運用担当者・委託先から何らの案内もない場合、または問い合わせをしても明確な回答が得られない場合は、現在の保守・運用体制そのものを見直すべきサインとなり得ます。

 モチヤが今回の注意喚起を行う理由 

オープンソースソフトウェアは、Drupal に限らず、広く社会やビジネスを支える重要な基盤となっています。

その一方で、どのソフトウェアであっても、運用を続ける中で脆弱性が発見される可能性は避けられません。重要なのは、脆弱性が存在するかどうかではなく、重大な情報が公開された際に、利用企業や支援事業者がどれだけ迅速かつ適切に対応できるかです。

Drupal も、他の多くのオープンソースソフトウェアと同様に、継続的なセキュリティレビューと更新を前提として安全性を高めていく仕組みの上に成り立っています。

したがって、Drupal を利用する企業には、導入時の開発力だけでなく、継続的な保守・運用の中で、

• 重大脆弱性を認識する 

• リスクを正しく評価する 

• 必要な対応を判断する 

• 速やかに実行する 

という一連の対応力が求められます。

モチヤは、Drupal 専門の開発会社として、重大なセキュリティ勧告が公開された際には、Drupal を利用する企業が速やかに必要な判断を行えるよう、情報を広く共有することが重要だと考えています。

モチヤは、Drupal を利用したシステム開発・保守運用を主力事業として展開しており、要件定義から開発、運用保守まで一貫して支援しています。特に大規模案件や複雑なシステム構築を得意領域として掲げています。

モチヤでは、今回の正式発表前から、PSA-2026-05-18 の内容を分析し、リスク評価の考え方、過去の重大脆弱性事例、企業担当者が確認すべきポイントを整理した解説記事を公開していました。今後も、Drupal を利用する企業の安全な運用に資する情報発信を継続してまいります。

技術的背景やリスク評価の詳しい解説は、モチヤの事前解説記事で紹介 

今回の SA-CORE-2026-004 を理解するうえでは、以下の観点が重要です。

•  「Highly critical 20/25」という評価の意味 

• AC / A / CI / II / E / TD といったリスク評価項目の読み解き 

• 2019年の重大脆弱性 SA-CORE-2019-003 で実際に攻撃が広がった前例 

• 実際の改ざん被害に関する現場での知見 

• Drupal バージョン別に必要となる事前対応 

• Drupal Steward を利用していても、アップデートが必要である理由 

これらについては、モチヤが公開済みの解説記事で詳しく整理しています。

関連解説記事： 

Drupal Coreで約7年ぶりの「Highly critical」予告。深刻な脆弱性に企業サイト担当者が今すぐ確認すべきこと

対応判断や現在の保守・運用体制に不安がある企業向けに、Drupal無料相談を案内 

現在の運用担当者・委託先へ確認したものの、

• 自社サイトが PostgreSQL を利用しているかどうか分からない 

• SA-CORE-2026-004 の影響対象かどうか、明確な説明が得られない 

• アップデートや緩和策が実施済みか分からない 

• 未対応の場合の実施時期が示されない 

• PostgreSQL 以外のサイトについても、今回のリリースに対する通常のセキュリティアップデート方針が分からない 

• 今回のような重大なセキュリティ勧告への対応体制に不安を感じる 

といった場合は、モチヤのDrupal無料相談をご活用ください。

モチヤでは、Drupal に関する 60分間の無料オンライン相談を提供しており、

• セキュリティ対応に関する状況整理 

• Drupal サイトの運用・保守に関する相談 

• バージョンアップ方針の検討 

• 現在の保守・運用体制に関する課題整理 

などに対応しています。

会社概要 

会社名：モチヤ株式会社

所在地： 

東京オフィス 

〒141-0031 

東京都品川区西五反田8-4-13 五反田JPビルディング2F 

co-lab 五反田 with JPRE S07

岡山オフィス 

〒700-0977 

岡山市北区問屋町27-107 問屋町ビル2F 北号室

代表者：代表取締役 阿部 正幸 

設立：2018年5月16日 

資本金：3,000万円 

従業員数：25名 

事業内容：システム開発・保守運用 / マーケティング 

コーポレートサイト：https://www.mochiya.ad.jp/

 

本件に関するお問い合わせ先 

モチヤ株式会社 

お問い合わせフォーム： 

https://www.mochiya.ad.jp/contact

参考情報 

• Drupal.org 公式セキュリティ勧告

  Drupal core - Highly critical - SQL injection - SA-CORE-2026-004

  https://www.drupal.org/sa-core-2026-004

• モチヤ解説記事

  Drupal Coreで約7年ぶりの「Highly critical」予告。深刻な脆弱性に企業サイト担当者が今すぐ確認すべきこと

  https://www.mochiya.ad.jp/blog/drupal_knowledge/detail/drupal-psa-2026-05-18-highly-critical

• モチヤ Drupal無料相談

  https://soudan.mochiya.ad.jp/