メニューボタン

IBM i (AS/400)ユーザーのための関連技術情報サイト『e-bellnet.com』

IBM i (AS/400)ユーザーのための関連技術情報サイト
HOME サポートチーム便り IBM i 海外記事 IBM i コラム BELLNETコミュニティ
サポートチーム便り2026.06.10

脅威に至急ご対応ください - IBM i ACS1.1.9.13がリリース -

Question

IBMから以下のようなメールが届きました。

IBM i Access Client Solutions(ACS)のセキュリティに関する内容だと思いますが、凡そどのような脆弱性でしょうか?

記載のあるACS1.1.9.13にアップデートすればいいでしょうか?

リンクを確認すると以下のようにPTFが公開されているようなのですが、IBM i (AS/400)にもPTFを適用しないといけないのでしょうか?

Answer

重要なセキュリティ問題通知を受けてご不安に駆られている状況かと存じます。

なるべく早くご対応いただくために、まずは対応方法と次に脅威の内容をご説明いたします。

対応方法:

ACS1.1.9.13のPCへの導入(インストールまたはバージョンアップや置き換え)のみで構いません。

レターで提供されているOS側のPTFについては、ACSの配布を簡略化するためのもので、これ自体がIBM i (AS/400)を修正するようなものではございません。

IBM i (AS/400)サーバーにこのPTFを適用すると、IFS(統合ファイル・システム)内の特定のディレクトリに、最新のACS(1.1.9.13)のプロダクト・イメージ一式が自動的に展開・上書きされます。

展開先のパス: /QIBM/ProdData/Access/ACS/Base

こちらに展開されているとACSメインメニューの画面上部の「ヘルプ」タブ→「更新の確認」をクリックすることでご利用環境をアップデートできます。

ご利用されるのがシステム管理者等の運用に明るい数名であれば個々にダウンロードすれば済みます。

例えば多くのオペレーターにアップデートを促す場合にはPTFを適用したほうが結果的に簡単にACS1.1.9.13を配布できるかもしれません。

脅威の内容:

対応方法が分かったところで念のため、この脅威の内容についてご説明いたします。

ACSが IBM i Navigatorからのリクエストをリッスン(受信待機)する設定になっている場合にリモートコード実行(RCE)が可能になる脆弱性(CVE-2026-7770)が発見されました。

具体的に言うと、
・ACS、メインメニューの「ツール」>「Navigator 要求」の画面を自分で開き、明示的に

「開始」ボタンを押した場合
停止状態:

この画面で状況が「停止」になっているのであればナビゲーター要求がリッスン状態になってない事を示します。

以下に説明する操作をされた場合も、この画面で停止になっていればリッスン状態ではありません。

・Navigator for iでACSを呼び出して実行する特定のボタンやメニューをクリックした際のポップアップでリッスンを受け入れた場合

具体的な例:
Navigator for iの画面(パフォーマンスやデータベースの監視画面など)にある、「SQLの実行」 といった、PC側のACSと直接データを連動させるためのボタンを押した時です。

この時、ブラウザ側がローカルのアプリ(ACS)を起動しようとするため、「このサイトが外部アプリケーションを開くことを許可しますか?」といったブラウザ固有の確認ポップアップが出ることがあります。

例えば「パフォーマンス」画面で表示設定を変更しており、データの抽出SQLを表示できるようにしている場合、以下のような画面が表示できます。

この時リッスン状態で「SQLの実行」をクリックすると、ACSの「SQLの実行」画面が開く前にポップアップが表示されることがあります。

もし、上記の手順を行っておらず、ステータスが 「停止」 のままになっている場合: ブラウザ(Navigator for i)側でいくら「SQLの実行」ボタンを押しても、画面に「ACS側でNavigator要求を開始してください」というエラーメッセージや案内図が表示されるだけで、PC側のACSは何も受け付けません。

・安全な状態: ACSのステータスが「停止」であれば、ネットワークの窓口は完全に閉じているため、今回の脆弱性の影響は一切受けません。

参考:
https://www.ibm.com/support/pages/ibm-i-access-acs-updates

ですので、普段からNavigator for iの画面から「Run in ACS」などの機能を使ってACSへデータを飛ばす運用をされていない限り、基本的には安全であると判断していただいて差し支えありません。

基本的には問題ないはず、ではありますが、監査的な視点に立つと脆弱性があるバージョンをそのまま利用する事はお勧めできません。

今回ご案内した脆弱性は、ACSのバージョン「1.1.5.0~1.1.9.12」になります。バージョン1.1.9.13では修正されておりますので、明確なバグ戻りでもない限り基本的には常に最新のACSをご利用することをお勧めいたします。

ACSのダウンロードについては以下からご確認ください。

参考:今更聞けない!!ACSのダウンロードってどうすればいいの?
https://www.e-bellnet.com/category/technology/2204/2204-04.html

by . 大熊猫橋

あわせて読みたい記事

脅威に至急ご対応ください - IBM i ACS1.1.9.13がリリース -

サポートチーム便り2026.06.10

IBM i IFSのオブジェクト権限を一覧で見たくありませんか?

サポートチーム便り2026.05.27

レコードは追加されなかった!? - IBM i 物理ファイルの 初期レコード数の見直し -

サポートチーム便り2026.05.13

Navigator for i でユーザー・プロファイルのテキスト記述を変更するとエラーになります

サポートチーム便り2026.04.22
前の記事
「サポートチーム便り」一覧

サイト内全文検索

メールマガジンお申し込み
安心パック for i &BELLNET会員向けコンテンツ
IBM i とは
IBM i 7分動画
IBM i のよくあるお悩み6選

話題のキーワード

ACS, AI, PCOMM, RDi, SQL, Web化, アプリケーション, アベイラビリティ, オープンソース, 開発ツール, 仮想化, 機密保護, クライアント・アクセス, クラウド, システム管理, トラブル対応, バックアップ, パフォーマンス, プログラム言語, プロセッサ
個人情報保護方針
Copyright(C) BELLDATA,Inc. All Right Reserved.
PAGE TOP