CISA KEV、Fortinet・Microsoft・Adobe 7件を一斉追加(4月13日)
目次
CISAは2026年4月13日、KEV(Known Exploited Vulnerabilities)カタログに7件の脆弱性を追加した。Fortinet FortiClient EMSのSQLインジェクション、Microsoft Exchange ServerのRCE、Windowsの特権昇格2件、Adobe Acrobatの2件が対象で、いずれも実際の攻撃への悪用が確認されている。
KEVカタログとは、実際の攻撃で使われたことが確認された脆弱性を集めたCISAの公式リスト。連邦機関には指定期限内のパッチ適用が義務付けられ(Binding Operational Directive 22-01)、民間組織でも優先対応の判断材料として広く参照される。
今回の7件は締め切りが2つに分かれている。FortiClient EMSの脆弱性(CVE-2026-21643)は4月16日が期限で、残る6件は4月27日。同じFortiClient EMSをめぐっては、4月6日にも別の脆弱性CVE-2026-35616(CVSS 9.8、improper access control)がKEVに追加されており、このプロダクトへの攻撃者の集中が際立っている。
7件の概要
| CVE | ベンダー | 製品 | CVSS | 脆弱性の種類 | パッチ期限 |
|---|---|---|---|---|---|
| CVE-2026-21643 | Fortinet | FortiClient EMS | 9.1 | SQLインジェクション → 未認証RCE | 4月16日 |
| CVE-2023-21529 | Microsoft | Exchange Server | 8.8 | デシリアライズ → RCE(要認証) | 4月27日 |
| CVE-2023-36424 | Microsoft | Windows(CLFS) | 7.8 | 境界外読み取り → 特権昇格 | 4月27日 |
| CVE-2025-60710 | Microsoft | Windows | 7.8 | シンボリックリンク追跡 → 特権昇格 | 4月27日 |
| CVE-2020-9715 | Adobe | Acrobat/Reader | 7.8 | Use-After-Free → 任意コード実行 | 4月27日 |
| CVE-2026-34621 | Adobe | Acrobat/Reader | 8.6 | プロトタイプ汚染 → 任意コード実行 | 4月27日 |
| CVE-2012-1854 | Microsoft | VBA(Office) | 7.8 | DLLハイジャック → 特権昇格 | 4月27日 |
CVE-2026-21643:FortiClient EMS SQLインジェクション(CVSS 9.1)
最優先で対処が必要な脆弱性。Fortinet FortiClient EMS 7.4.4に存在するSQLインジェクション(CWE-89)で、認証なしにリモートからコマンドを実行できる。
技術的な根拠は、マルチテナント対応のリファクタリング時にHTTPヘッダーの値をサニタイズなしでデータベースクエリに渡すようになったこと。攻撃者は公開状態の /api/v1/init_consts エンドポイントに特定のヘッダーを送るだけで、ログイン前の段階でSQLインジェクションを発火させられる。ロックアウト機構もなく、データベースのエラーメッセージが返ってくるため攻撃を高速に進められる。
バックエンドのPostgreSQLがスーパーユーザー権限で動作している環境では、COPY ... TO/FROM PROGRAM 構文を使ってOSコマンドを実行することも実証されている。抽出できる情報は管理者認証情報、エンドポイントインベントリ、セキュリティポリシー、マネージドエンドポイントの証明書など。
Bishop Foxの分析によると、マルチテナントモード(SITES_ENABLED=True)が有効な環境のみが影響を受ける。Shodanでは公開状態のFortiClient EMSインスタンスが約1000件確認されており、既に4日以上前から実攻撃が観測されている。
修正バージョン:7.4.5以降。7.4.5はCVE-2026-21643の修正を含むが、後述のCVE-2026-35616の影響も受けるため、7.4.6向けのホットフィックス適用まで必要になる。
flowchart TD
A[攻撃者] -->|認証不要のHTTPリクエスト| B["/api/v1/init_consts"]
B -->|テナントヘッダーがそのままSQL埋め込み| C[PostgreSQL]
C -->|エラーメッセージ返却| A
C -->|スーパーユーザー時<br/>COPY TO/FROM PROGRAM| D[OSコマンド実行]
D --> E[管理者認証情報の窃取]
D --> F[任意ファイル作成]
D --> G[横展開]CVE-2023-21529:Microsoft Exchange Server RCE(CVSS 8.8)
Exchange Server 2013/2016/2019に影響する信頼されないデータのデシリアライズ(CWE-502)脆弱性。認証済みの攻撃者が細工したリクエストを送ることでRCEを達成できる。
対象バージョンはExchange Server 2013(CU23以前)、2016(CU23以前)、2019(CU11/12以前)。Microsoftは既にパッチを提供しており、最新の累積アップデートへの移行が対応策になる。「認証が必要」という条件は内部ネットワーク侵害後の横展開(内部横移動)シナリオで引き続き脅威になる。
CVE-2023-36424:Windows CLFS 境界外読み取り(CVSS 7.8)
Windows Common Log File System(CLFS)ドライバの境界外読み取り(CWE-125)による特権昇格。ローカルで低権限を持つ攻撃者が管理者権限に昇格できる。
CLFS(Common Log File System)はWindowsのログ管理に使われるカーネルコンポーネントで、複数の特権昇格CVEが過去数年にわたって見つかっている。影響はWindows 10/11全般とWindows Server 2008〜2022まで広範囲。ランサムウェアグループが初期侵入後の権限昇格に使うケースが多い。
CVE-2025-60710:Windows タスクホストプロセスの特権昇格(CVSS 7.8)
Host Process for Windows Tasks(taskhost.exe)における不正なリンク追跡(link following、CWE-59)。NTFSのシンボリックリンクやリパースポイントを悪用してファイルアクセスの解決経路を誘導し、ローカル特権を昇格させる。
2025年11月のパッチチューズデーで修正済み。影響はWindows 11 24H2/25H2とServer 2025。攻撃にはローカル認証済みアクセスが必要だが、ランサムウェアや情報窃取マルウェアが端末への足がかりを掴んだ後に使う典型的な昇格手法にあたる。
CVE-2020-9715:Adobe Acrobat Use-After-Free(CVSS 7.8)
Adobe Acrobat/Readerの2015〜2020トラック全バージョンに影響するUse-After-Free(CWE-416)脆弱性。Use-After-Freeとは、解放済みのメモリ領域を参照し続けることで任意のコードを実行できる脆弱性の種類。
発見は2020年にさかのぼるが、最新のAdobe Readerを使っていない環境での悪用が今も続いていることが確認されてKEV入りとなった。
CVE-2026-34621:Adobe Acrobat プロトタイプ汚染(CVSS 8.6)
プロトタイプ汚染(Prototype Pollution)によるRCEで、2025年12月から実攻撃が継続していたゼロデイ。4月11日にAdobeがパッチを配布(APSB26-43)し、CVSS 8.6・Priority 1として72時間以内の適用を推奨していた。
詳細は既報のAdobe Acrobat Reader、悪用中のゼロデイにパッチ配布(CVE-2026-34621 / APSB26-43)を参照。今回のKEV追加はパッチ配布の3日後にあたり、連邦機関への強制適用という形で後追いされた格好になる。
CVE-2012-1854:Microsoft VBA DLLハイジャック(CVSS 7.8)
2012年に公開されたMicrosoft Visual Basic for Applications(VBA)の脆弱性。DLLハイジャック(CWE-426)で、攻撃者がカレントディレクトリに悪意あるDLLを配置した状態でVBAを含むOfficeファイルを開かせることで特権昇格が起きる。
14年前のCVEが今回KEVに加えられた背景には、古いOffice環境(2003/2007/2010)を未更新のまま動かしているシステムへの実攻撃が確認されたことがある。マイクロソフトは既にパッチを提供済みだが、EOL(サポート終了)後の製品を使い続ける場合は隔離・廃棄が現実的な対処策になる。
対応の優先度
7件のうち特に緊急性が高いのはCVE-2026-21643。未認証RCE、公開インスタンス多数、締め切り4月16日という三拍子が揃っており、FortiClient EMS 7.4.4を動かしている組織は今日中に確認が必要だ。
同じくFortinetのCVE-2026-35616(CVSS 9.8、4月6日KEV追加)との関係も要注意で、7.4.5への更新だけでは不十分な場合がある。Fortinetのアドバイザリ FG-IR-26-099 でどのホットフィックスが必要かを確認する必要がある。
Exchange Server(CVE-2023-21529)は認証が必要とはいえ、内部侵害後の踏み台として使われており、最新CUへの更新が未対応の組織は期限を待たず対処するのが望ましい。Adobeの2件はどちらも任意コード実行につながるPDF経由の脅威で、Adobe Reader/Acrobatを組織内で使い続けている場合は最新版(Continuous Trackであれば26.x系)への更新を確認する。
Fortinet製品への攻撃が加速している
FortiClient EMSは1週間で2件目のKEV入り(4月6日にCVE-2026-35616、今回CVE-2026-21643)。
Fortinet製品全体で見ると状況はさらに深刻で、3月にはAIオーケストレーションツール「CyberStrikeAI」によるFortiGate約600台の自動侵害が報じられている。FortiGate、FortiClient EMS、FortiOSと、管理インターフェースがインターネットに露出した環境が繰り返し狙われるパターンが定着した。
Shodanで約1,000台が公開状態という今回の数字は、FortiGateの600台侵害事案と同じ構図。管理インターフェースの公開を止めること自体が最優先の対策になる。
Adobe PDF、もうひとつのゼロデイが同時進行
CVE-2026-34621のパッチ(APSB26-43)は4月11日に出たが、Adobe Reader/Acrobatにはもうひとつ別系統のゼロデイが存在する。
4月10日に公開されたサンドボックスバイパス + RCEの組み合わせは2025年11月から約4ヶ月間悪用が続いていた脆弱性で、CVE-2026-34621とは独立した攻撃チェーン。最新版を含む全バージョンが影響を受け、この記事執筆時点でまだパッチが出ていない。
PDF経由の脅威が複数のゼロデイで同時に進行している状況で、「とりあえずAPSB26-43を当てた」だけでは足りない。
2026年のKEV追加の流れ
このブログで取り上げてきたKEV関連だけでも、2026年は毎月複数件の追加が続いている。
- 2月: Chromiumゼロデイ・BeyondTrust含む4件、Chrome UAF含む4件
- 3月: n8n RCE(CVSS 9.9)、Craft CMS CVSS 10.0含む5件、VMware Aria
- 4月: 今回のFortinet・Microsoft・Adobe 7件
今回の7件に含まれるCVE-2012-1854(14年前のVBA脆弱性)やCVE-2020-9715(6年前のAdobe UAF)のように、古いCVEが「今になって実悪用確認」としてKEV入りするケースも増えている。
2月にも17年前のMicrosoft脆弱性がKEVに追加された。パッチが出ていても適用されていない環境は、攻撃者にとって時間が経つほど使いやすくなる。
過去記事と重なる攻撃パターン
今回KEVに入った7件は個別の脆弱性だが、このブログで追ってきた攻撃パターンと重なる部分が多い。
Microsoft製品への連鎖攻撃
Exchange ServerのRCE(CVE-2023-21529)やVBA DLLハイジャック(CVE-2012-1854)は、国家支援グループが好んで組み合わせる部品だ。
APT28は1月にMSHTMLゼロデイCVE-2026-21513を使ったLNKファイル攻撃を仕掛け、2月にはOffice OLEバイパスCVE-2026-21509もKEV入りした。
初期侵入にMSHTMLやExchange、権限昇格にCLFSやシンボリックリンク、永続化にDLLハイジャックと、Windowsの攻撃チェーンを構成するパーツが揃ってKEVに並んでいる。
Prototype Pollution
Adobe AcrobatのCVE-2026-34621はJavaScriptのプロトタイプ汚染からRCEに至る。
同じ脆弱性クラスでは、axiosのCVE-2026-40175がプロトタイプ汚染をgadgetとしてHTTPヘッダ注入(CRLF)からSSRFまで連鎖させていた。
PDFリーダーとHTTPクライアントという全く異なるソフトウェアで、同じ脆弱性パターンがRCEやSSRFの入り口になっている。
Use-After-Free
6年前のAdobe Acrobat脆弱性CVE-2020-9715はUAF(解放済みメモリ参照)。
つい2週間前にもChrome DawnのUAF(CVE-2026-5281)が2026年4件目のゼロデイとして悪用されている。
ブラウザとPDFリーダーはどちらもレンダリングエンジンの複雑さからUAFが出やすく、パッチが出ても古いバージョンを使い続ける限り攻撃対象になる。CVE-2020-9715が6年越しでKEV入りした事実がそれを裏付けている。