概要

Esri は ArcGIS Online、ArcGIS Location Platform、ArcGIS Enterprise において、開発者の認証情報 (API キー、OAuth 2.0) に関する脆弱性を確認しました。現時点で、本件が悪用された事例は確認されていません。

本件に対するセキュリティー更新は ArcGIS Online、ArcGIS Location Platform において 2026 年 4 月 13 日 (日本時間 2026 年 4 月 14 日) に適用されます。ArcGIS Enterprise については、該当バージョン向けに提供されるセキュリティー パッチを適用することで解消されます。

対象となる製品

本件は以下の製品においてアプリ認証用の開発者の認証情報 (API キー、OAuth 2.0) を利用している場合に該当します。

• ArcGIS Online
• ArcGIS Location Platform
• ArcGIS Enterprise 11.4、11.5、12.0 (Windows、Linux)

• ArcGIS Pro を利用している場合
• ArcGIS Online および ArcGIS Enterprise 標準のサイン インを利用している場合

脆弱性の影響

一部の条件下において、権限付きで作成した API キーが想定しない権限で動作してしまう可能性がありました。

製品別の対応

ArcGIS Online、ArcGIS Location Platform

2026 年 4 月 13 日 (日本時間 2026 年 4 月 14 日) に Esri によりセキュリティーの更新が適用されます。この更新により、既存の API キーおよび OAuth 2.0 認証情報は作成時に設定された権限レベルに是正されます。

ArcGIS Enterprise

Esri より提供される最新のセキュリティー パッチを適用してください。パッチを適用できない期間がある場合は、一時的に開発者の認証情報を無効化することで脆弱性に対するリスクを低減できます。

Portal for ArcGIS Security 2026 Update 1 Patch

重要なお知らせ

• 2026 年 4 月 15 日：Portal for ArcGIS Security 2026 Update 1 Patch のダウンロードは、パッチに問題が確認されたため、一時的に停止されています。名称に「B」の接尾辞が付いた修正パッチがまもなく公開される予定です。新しいパッチがリリースされ次第、このページを更新いたします。既に Portal for ArcGIS Security 2026 Update 1 Patch をダウンロード済みの場合、そのパッチは適用しないようにしてください。
• 2026 年 4 月 20 日：米国時間 2026 年 4 月 16 日に、更新版 Patch B が提供されました。 それ以前にインストールしたパッチはアンインストール不要です。 詳細および新しいパッチファイルは上記パッチページよりご確認ください。
• 2026 年 4 月 22 日：米国時間 2026 年 4 月 20 日に、バージョン 11.4 のパッチファイルが提供されました。詳細および新しいパッチファイルは上記パッチページよりご確認ください。

詳細情報

本件の詳細、対応方法については ArcGIS Trust Center、「April 2026 Security Bulletin」をご参照ください。

更新履歴