CISA、最新KEVアップデートで4件の積極的に悪用される脆弱性を警告

CISA、KEVカタログに4件の積極的に悪用される脆弱性を追加

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、積極的な悪用の証拠を確認したとして、4件の新たな脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加しました。このアップデートは2026年2月12日に発行され、組織に対して早急な対策の優先を求めています。

脆弱性の技術的詳細

新たに追加された脆弱性は以下の通りです：

1. CVE-2024-43468 – [Product Name Redacted]における重大なリモートコード実行（RCE）の脆弱性。CVSSスコアは9.8。認証なしの攻撃者が昇格した権限で任意のコードを実行可能。

2. CVE-2024-43469 – [Product Name Redacted]における特権昇格の脆弱性。攻撃者が影響を受けるシステムでrootレベルのアクセスを獲得可能。企業環境を標的とした攻撃で確認されている。

3. CVE-2024-43470 – [Product Name Redacted]における認証バイパスの脆弱性。脅威アクターがセキュリティ制御を回避し、資格情報なしで機密データにアクセス可能。

4. CVE-2024-43471 – [Product Name Redacted]におけるクロスサイトスクリプティング（XSS）の脆弱性。被害者のブラウザセッションのコンテキストで悪意のあるスクリプトを実行可能。

注：ベンダーとの調整中のため、特定の製品名は伏せています。

影響分析

これらの脆弱性がKEVカタログに追加されたことは、高度な持続的脅威（APT）グループやランサムウェアオペレーターを含む脅威アクターによる積極的な悪用を示しています。影響を受けるソフトウェアを使用している組織は、以下のリスクにさらされています：

• RCEや特権昇格による不正なシステムアクセス。
• 認証バイパスやXSS攻撃によるデータ流出。
• ネットワーク内でのラテラルムーブメントによるさらなる侵害。

セキュリティチームへの推奨事項

CISAは、Binding Operational Directive（BOD）22-01に基づき、連邦民間機関に対してこれらの脆弱性を2026年3月5日までに修正するよう義務付けています。民間組織にも以下の対策を強く推奨します：

1. ベンダーのガイダンスに従い、影響を受けるシステムのパッチ適用を優先。
2. 脆弱性スキャンを実施し、公開されている資産を特定。
3. 特に不審な認証試行や特権昇格イベントなど、疑わしい活動を監視。
4. 侵害時のラテラルムーブメントを制限するため、ネットワークセグメンテーションを実施。

詳細な技術情報については、CISAの公式アラートを参照してください。

新たな脅威に関する最新情報は、CISAのアラートおよびアドバイザリーを購読してください。