お知らせ
【重要】
ArcGIS 製品における開発者認証情報に関する脆弱性について
ナレッジ番号:6118 | 作成日:2026/04/14
概要
Esri は ArcGIS Online、ArcGIS Location Platform、ArcGIS Enterprise において、開発者の認証情報 (API キー、OAuth 2.0) に関する脆弱性を確認しました。現時点で、本件が悪用された事例は確認されていません。
本件に対するセキュリティー更新は ArcGIS Online、ArcGIS Location Platform において 2026 年 4 月 13 日 (日本時間 2026 年 4 月 14 日) に適用されます。ArcGIS Enterprise については 2026 年 4 月 13 日 (日本時間 2026 年 4 月 14 日) に該当バージョン向けに提供されるセキュリティー パッチを適用することで解消されます。
対象となる製品
本件は以下の製品においてアプリ認証用の開発者の認証情報 (API キー、OAuth 2.0) を利用している場合に該当します。
- ArcGIS Online
- ArcGIS Location Platform
- ArcGIS Enterprise 11.5、12.0 (Windows、Linux)
※ ArcGIS Pro やブラウザーのみで利用しているなど、開発者の認証情報を利用していない場合、本件の影響はありません。脆弱性の影響
一部の条件下において、権限付きで作成した API キーが想定しない権限で動作してしまう可能性がありました。
製品別の対応
ArcGIS Online、ArcGIS Location Platform
2026 年 4 月 13 日 (日本時間 2026 年 4 月 14 日) に Esri によりセキュリティーの更新が適用されます。この更新により、既存の API キーおよび OAuth 2.0 認証情報は作成時に設定された権限レベルに是正されます。
ArcGIS Enterprise
2026 年 4 月 13 日 (日本時間 2026 年 4 月 14 日) に Esri より提供される最新のセキュリティー パッチを適用してください。パッチを適用できない期間がある場合は、一時的に開発者の認証情報を無効化することで脆弱性に対するリスクを低減できます。
Portal for ArcGIS Security 2026 Update 1 Patch詳細情報
本件の詳細、対応方法については ArcGIS Trust Center、「April 2026 Security Bulletin」をご参照ください。
更新履歴
2026 年 4 月 14 日:公開
2026 年 4 月 14 日:パッチ情報公開