CISAがアクティブ悪用中の脆弱性4件をKEVカタログに追加
CISAのKEVカタログに4件追加
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が、Known Exploited Vulnerabilities(KEV)カタログに4件の脆弱性を新たに追加した。いずれも実際に悪用が確認されている。
今回追加されたのは、最新のGoogle Chrome脆弱性から2008年のMicrosoft Windows脆弱性まで、年代もベンダーもバラバラな4件。共通するのは「今まさに攻撃に使われている」という事実だけである。
CVE-2026-2441: Google Chrome Use-After-Free(CVSS 8.8)
最も深刻度が高いのがこのChrome脆弱性。Use-After-Free(解放済みメモリの使用)を悪用し、細工されたHTMLページ経由でヒープ破壊を引き起こす。リモートからの攻撃が可能で、Googleも野生での悪用を認めている。
ブラウザの脆弱性は攻撃の入口として極めて効率がいい。ユーザーがリンクをクリックするだけで攻撃が成立するため、フィッシングとの組み合わせで威力を発揮する。Chromeユーザーは即座にアップデートすべきである。
CVE-2024-7694: TeamT5 ThreatSonar Anti-Ransomware 任意ファイルアップロード(CVSS 7.2)
皮肉なことに、ランサムウェア対策ツール自体に脆弱性が見つかった。TeamT5のThreatSonar Anti-Ransomware(v3.4.5以前)に存在する任意ファイルアップロードの脆弱性で、攻撃者がサーバー上で任意のシステムコマンドを実行できる。
セキュリティ製品の脆弱性は、その製品が持つ高い権限と相まって被害が拡大しやすい。FCEB(連邦民間行政機関)には2026年3月10日までの対応期限が設定された。
CVE-2020-7796: Zimbra Collaboration Suite SSRF(CVSS 9.8)
CVSSスコア9.8という最高クラスの深刻度を持つZimbraのSSRF脆弱性。2020年に公開された脆弱性だが、いまだに悪用が続いている。GreyNoiseの報告によると、2025年3月時点で約400のIPアドレスがこの脆弱性を積極的に悪用しており、攻撃元はアメリカ、ドイツ、シンガポール、インド、リトアニア、日本と広範囲に及ぶ。
細工されたHTTPリクエストを送るだけで機密情報への不正アクセスが可能になる。Zimbraは企業のメール基盤として広く使われているため、パッチ未適用の環境は格好の標的となっている。
CVE-2008-0015: Microsoft Windows Video ActiveX Control バッファオーバーフロー(CVSS 8.8)
2008年の脆弱性が2026年のKEVカタログに追加されるという、なかなか衝撃的な事態。Windows Video ActiveX Controlのスタックベースバッファオーバーフローで、細工されたWebページ経由でリモートコード実行が可能になる。
この脆弱性を悪用するDogkildワームは、リムーバブルドライブ経由で拡散し、セキュリティプロセスの終了やWindowsのHostsファイルの改変を行う。17年前の脆弱性がいまだに現役で悪用されているという事実は、レガシーシステムのリスクを如実に示している。
Web開発者が注意すべきポイント
今回の4件のうち、Web開発者に最も直接的な影響があるのはChromeのUAF脆弱性である。開発環境のブラウザも攻撃対象になり得るため、自動アップデートが有効になっているか確認しておくべきだ。
また、ZimbraのようなWebベースのコラボレーションツールを社内で運用している場合、6年前のCVEでもパッチが当たっていなければ現在進行形の脅威となる。脆弱性管理は「新しいCVEだけ追いかければいい」というものではないことを、CISAのKEVカタログは繰り返し教えてくれる。