この連載はOSSコンソーシアム データベース部会のメンバーがオープンソースデータベースの毎月の出来事をお伝えしています。

［MySQL］2026年5月の主な出来事

5月はMySQLサーバーのバージョンアップはありませんでした。4月のMySQLサーバー9.7.0 LTSおよび8.4.9 LTS, 8.0.46のリリースにともない、クラウド版のMySQLであるMySQL HeatWaveもそれぞれのバージョンが利用可能となっています。なお、MySQL 8.0については新規パッチがリリースされないSustaining Supportのフェーズに入っていますが、MySQL HeatWaveについては既報の通り2027年4月まで無料の延長サポートが提供されています。ただし、新規のMySQL 8.0インスタンスの作成やシェイプ（サーバーのスペック）の変更は不可となっていますので、早急にバージョン・アップを検討してください。

連載第129回の締め切り後、MySQL Labsに新しいモジュールとしてChange Stream Applier（CSA）が公開されました。MySQL Labsは、リリース前の新機能をいち早く試していただくためのソフトウェアを公開するサイトです。なお、公開されているソフトウェアは、本番での利用は想定されていないためご注意ください。

AIによるセキュリティ脅威とMySQLでの脆弱性対応

国内でも多くのニュースになっていますが、AIによる脆弱性分析が話題となっています。今後、AIを用いた脆弱性を突いた攻撃に利用されることが危惧される中、オラクルもAnthropicのClaude Mythos PreviewやOpenAIのTrusted Access for Cyberを活用して、ソフトウェアの堅牢性を高めていることを公表しています。また、Anthropicの「Project Glasswing」についても、当初のAnthropicからの発表にはオラクルの社名は参加社として掲載されていなかったものの、5月22日の同社のブログ記事では“⁠ Oracle is finding and fixing vulnerabilities across its products and cloud multiple times faster than before.⁠”という表現で、オラクルもプロジェクトを活用していることが明記されていました。

MySQLに関しても、この状況を説明したブログ記事を公開し、MySQLの開発チームにおけるAIの活用を説明すると同時にセキュリティ設計の基本の重要性も解説しています。

MySQLのコミュニティ連携の強化

MySQLのコミュニティとの連携に関する戦略であるMySQL Community Engagement Strategyのもと、さまざまな施策が公開されています。

5月21日に開催された第4回の公開ディスカッションでは、コントリビューションのプロセスの改善と明確化が議題となりました。この中では、現在MySQLのバグ・データベースにてバグ報告や機能追加要望を受けていたところを、コミュニティとのオープンな形での議論が行えるようにGitHubを中心としてワークフローへの変更を準備中であることが示されました。

1. バグ報告や機能追加要望はGitHubのIssueを利用
2. GitHubのDiscussionsにて技術的なディスカッションを実施
3. プルリクエストにてコードのレビュー
4. 可能な項目は自動でチェックを行う
5. Issuesやプルリクエスト、設計提案をバグ・データベースと同期

これまでの公開ディスカッションと同じく、第4回の公開ディスカッション資料もGitHubに公開されています。

コミュニティからのコントリビューションの流れや作業内容は、MySQL Community Developer Guideに情報を集約されています。今後もこのガイドは継続的に情報が追加され、更新されていくことになっています。

機能追加要望のテンプレートとしてMySQL Community Design Proposalが用意され、現時点ではバグ・データベースへの添付や、今後のGitHubの中心のワークフローでも使用することになっています。

5月26日に米国で開催のMySQL Contributor Summit 2026では、今後のMySQLのロードマップや機能に関する議論が行われ、オラクル以外にもAmazonやPerconaなどに加え、個人のコントリビューターによるプレゼンテーションもあります。日本からはMySQL開発チームの元エンジニアでInnoDBストレージ・エンジンの開発や性能改良でも有名な木下さんが参加されて講演されています。このイベントの模様は本連載の6月公開予定の記事にて解説予定です。

［PostgreSQL］2026年5月の主な出来事

5月にはマイナーバージョンが計画通りにリリースされました。セキュリティ脆弱性の修正が11件も含まれている点が重要です。今回は、このアップデートを中心にお知らせします。

11件のセキュリティ脆弱性修正を含むPostgreSQLのアップデートが公開

5月14日、計画されていたとおりに、全てのサポート中メジャーバージョンのアップデート（マイナーバージョン）がリリースされました。リリースされたバージョンは18.4、17.10、16.14、15.18、14.23です。今回のアップデートでは60件以上のバグ修正や改善がされています。しかし、それ以上に気になるのが11件ものセキュリティ脆弱性の修正が入っていることでしょう。

脆弱性の重症度はさまざまで重症度が高いものも含まれています。多くの脆弱性はサポート中の全バージョン（14〜18）に影響しますが、一部のバージョンのみに影響するものもあります。この記事では11件の脆弱性修正をすべて列挙しますが、重症度の高いものついて簡単な説明を加えます。各々の脆弱性とその修正については、リリースのお知らせや、そこからリンクしている個別の詳細情報を確認してください。

• CVE-2026-6472：PostgreSQLのCREATE TYPEでマルチレンジスキーマのCREATE権限のチェックがない
• CVE-2026-6473：PostgreSQLサーバにおいて整数ラップアラウンドによる割り当てサイズの過小評価【重症度＝高い⁠】⁠
  • アプリケーションの入力プロバイダがサーバに割り当てサイズを過小評価させ、範囲外への書き込みを引き起こす可能性があります。これにより、セグメンテーション違反が発生します。
• CVE-2026-6474：PostgreSQLのtimeofday()関数において一部サーバメモリが開示される可能性
• CVE-2026-6475：PostgreSQLのpg_basebackupとpg_rewindにおいてスーパーユーザーの選択により元の無関係なファイルを上書きできてしまう【重症度＝高い⁠】⁠
  • オリジンスーパーユーザーがローカルファイルを上書きして、OSのアカウントを乗っ取ることができます。shared_preload_librariesなどの機能により、これらのコマンドの後にサーバを起動すると、暗黙的にオリジンスーパーユーザーを信頼することになります。したがって、この攻撃が実際に影響するのは、コマンドとサーバ起動の間にファイルを別のVMに移動したり、VMのスナップショットを作成したりするなどの条件に適合する場合になります。
• CVE-2026-6476：PostgreSQLのpg_createsubscriberにおいて購読名を介してSQLインジェクションが許容される【重症度＝高い⁠】⁠
  • SQLインジェクションの脆弱性により、pg_create_subscription権限を持つ攻撃者がスーパーユーザーとして任意のSQLを実行できます。この攻撃はpg_createsubscriberが次に実行されたときに有効になります。
• CVE-2026-6477：PostgreSQLのlibpq lo_* 関数においてサーバのスーパーユーザーがクライアントのスタックメモリを上書きすることが可能【重症度＝高い⁠】⁠
  • 本質的に危険な関数の使用によって、サーバのスーパーユーザーがクライアントのスタックバッファを任意の大きさの応答で上書きできてしまいます。
• CVE-2026-6478：PostgreSQLでの秘密のタイミングチャネルを介したMD5ハッシュ化パスワードの漏洩
• CVE-2026-6479：PostgreSQLのSSL/GSS初期化処理において制御不能な再帰処理によるサービス拒否の発生【重症度＝高い⁠】⁠
  • SSL/GSSネゴシエーションにおける制御不能な再帰によって、PostgreSQLのAF_UNIXソケットに接続できる攻撃者が継続的なサービス拒否攻撃を実行できてしまいます。SSLとGSSの両方が無効になっている場合には、攻撃者はPostgreSQLのTCPソケットにアクセスすることで同様の攻撃を実行できます。
• CVE-2026-6575：PostgreSQLのpg_restore_attribute_statsにおいてクエリプランニングが統計配列の末尾を超える原因となる値を受け入れ
• CVE-2026-6637：PostgreSQLのrefintにおいてスタックバッファオーバーフローとSQLインジェクションを許容【重症度＝高い⁠】⁠
  • refintモジュールにおけるスタックバッファオーバーフローの脆弱性によって、権限のないデータベースユーザーが、データベースを実行しているOSユーザーとして任意のコードを実行できる可能性があります。アプリケーションがユーザー制御列をrefintカスケード主キーとして宣言し、その列に対するユーザー制御の更新を可能にしている場合には、別の攻撃が発生する可能性もあります。この場合には、SQLインジェクションによって主キー更新値プロバイダが、主キー更新を実行するデータベースユーザーとして任意のSQLを実行できます。
• CVE-2026-6638：PostgreSQLのREFRESH PUBLICATIONにおいてテーブル名を介したSQLインジェクションを許容

PostgreSQLエンタープライズ⁠・コンソーシアムの活動成果発表会が開催

前回にお知らせしたとおり、5月29日にPostgreSQLエンタープライズ・コンソーシアム（PGECons）が2025年度活動成果発表をするセミナーが開催されました。ここではその概要を報告しますが、セミナーで発表される予定の内容も含んでいますがご容赦ください。詳細は次回のこの連載で報告予定です。

新技術検証WG（WG1）⁠：バージョン間性能比較の定点観測

2025年度は、毎年恒例である定点観測によるPostgreSQL 17と18の性能測定を実施しました。例年通り、新旧バージョンの性能比較としてマルチコアCPUにおける性能検証を行い、17から18への性能変化の有無や傾向を確認して報告しました。

移行WG（WG2）⁠：2025年度のWG2の活動について

PGEConsでは2012年からPostgreSQLへのデータベース移行作業工程と工程ごとの作業内容について調査・検証を進めてきました。2025年度は、それまでの成果物であるロールや権限に着目した調査・検証の成果をさらに充実させる活動を実施しました。発表では、PostgreSQLの移行に関連する新機能の調査について報告するとともに、過去の成果物にも触れつつ2025年度のWG2の活動について紹介しました。

CR（Community Relations）部会⁠：PostgreSQLの適用領域拡大に向けた技術的課題の改善の動向

運営委員会：2026年度活動計画

［Tsurugi］最新情報

この連載では、これまでも次世代高速RDB劔"Tsurugi"についてお知らせをしてきましたが、PostgreSQLのパートの中に含めてしまうことが多くありました。国内のエンジニアが取り組んでいる注目の次世代データベースですから、これからはニュースがあるときには独立したパートにしてお伝えしようと思います。

光電融合技術と次世代分散データベースを活用した分散計算基盤の実証

5月21日、技術研究組合光電子融合基盤技術研究所（PETRA）から、光電融合技術と次世代分散データベースを活用した分散計算基盤の実証成功の発表がありました。この画期的な実証研究において、次世代高速RDB劔"Tsurugi"が採用されています。

研究では、データ処理量の拡大、電力消費量の低減、耐障害性の向上（高可用性）の課題を同時に解決するため、光で低遅延にデータを運び、離れた場所にある計算資源を一体のシステムのように使う次世代分散コンピューティング基盤を実証しました。そのために、個別の最適化ではなく、光チップ、光トランシーバ、光ネットワーク、分散データベースを組み合わせ、通信と計算をまとめて最適化する点が特徴です。この分散データベースに、次世代高速RDB劔"Tsurugi"が採用されました。

2026年6月以降開催予定のセミナーやイベント⁠、ユーザ会の活動

イベントごとに利便性のあるオンライン開催や、従来通りのオンサイト（会場）開催、またはハイブリットが混在するようになっています。興味を持たれて参加したいイベントの開催形態にご注意ください。

日本MySQLユーザ会会（MyNA会） 2026年06月（仮）

オープンソースカンファレンス（OSC）〔6月〜8月開催分〕