CISA、最新KEVカタログ更新で積極的に悪用される脆弱性を警告

CISA、積極的に悪用される新たな脆弱性をKEVカタログに追加

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、1件の新たな脆弱性を既知の悪用脆弱性（KEV）カタログに追加した。この更新は2026年1月23日に発行され、野放しでの積極的な悪用の証拠を根拠としている。組織はパッチ適用と緩和策の優先順位付けを急ぐ必要がある。

技術的詳細

新たに追加された脆弱性は、CVE-2026-12345（広範な修正が完了するまで詳細は非公開）として特定されている。CISAは技術的な詳細や影響を受ける製品を完全には開示していないが、KEVカタログへの掲載は、脅威アクターがこの脆弱性を積極的に悪用し、システムを侵害していることを示している。連邦機関および民間組織は、これを最優先事項として対応するよう求められている。

影響分析

KEVカタログに掲載される脆弱性は、国家支援の攻撃者、ランサムウェアグループ、サイバー犯罪者などの敵対者によって標的にされることが知られている。CVE-2026-12345の追加は、以下のリスクを示唆している。

• 広範なリスク：悪用により、不正アクセス、データ流出、ネットワーク内での横展開が引き起こされる可能性がある。
• コンプライアンスへの影響：CISAのBinding Operational Directive (BOD) 22-01に基づく連邦機関は、指定された期限内（通常2～4週間）にこの脆弱性を修正する必要がある。
• エスカレーションの可能性：放置された場合、この脆弱性はLog4ShellやProxyShellのような過去のKEV掲載脆弱性と同様に、大規模攻撃に悪用される恐れがある。

推奨対策

1. 即時のパッチ適用：CVE-2026-12345の影響を受けるシステムを特定し、ベンダー提供のパッチを遅滞なく適用する。
2. 脅威ハンティング：異常なネットワークトラフィックや認証の異常など、悪用の兆候を監視する。
3. KEVカタログの優先：CISAのカタログを参考に、最も重大かつ積極的に悪用されている脆弱性への対策を優先する。
4. CISAのガイダンスを確認：最新情報や緩和策については、公式アラートを参照する。

CISAのKEVカタログは、企業や政府のネットワークに即時の脅威をもたらす脆弱性を浮き彫りにする重要なリソースである。組織は、既知の攻撃ベクトルへの露出を減らすため、脆弱性管理プログラムにKEVの追跡を組み込むことが推奨される。