CISA、KEVカタログにScreenConnectとWindowsの脆弱性2件を追加 悪用を確認済：セキュリティニュースアラート

CISAは悪用が確認された2件の脆弱性をカタログに追加した。ConnectWise製ツールとWindows Shellに存在する脆弱性で、遠隔操作やなりすましの恐れがある。防御態勢の維持が強く推奨される。

[ITmedia エンタープライズ編集部，ITmedia]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2026年4月28日（現地時間）、既知の悪用された脆弱（ぜいじゃく）性（KEV）カタログに新たに2件の脆弱性を追加したと発表した。いずれも実際に悪用が確認されているとされ、連邦機関には期限内修正が義務付けられており、他の組織にも対応が強く推奨されている。

ScreenConnectやWindowsの既知の脆弱性悪用をCISAが警告

　追加されたのは、「CVE-2024-1708」と「CVE-2026-32202」の2件だ。前者は「ConnectWis」のリモートアクセスツール「ScreenConnect」に存在するパストラバーサルの問題で、細工されたリクエストによって本来制限されるディレクトリ外へのアクセスが可能となる。攻撃者はこの脆弱性を利用し、リモートからのコードの実行をする他、機密情報や重要システムに直接影響を与える恐れがある。影響を受けるのはバージョン23.9.7以前で、23.9.8以降では修正済みとされる。共通脆弱性評価システム（CVSS）v3.1のスコアは8.4で深刻度は重要（High）に分類される。

　もう一つの「CVE-2026-32202」は、Windows Shellにおける保護機構の不備に関する脆弱性だ。この問題により、認証されていない攻撃者がネットワーク経由でスプーフィングをする可能性がある。CVSS v3.1のスコアは4.3（Medium）だが、実際の悪用が確認されたことを受け追加された。影響範囲は広く、「Windows 10」「Windows 11」の複数バージョンに加え、「Windows Server」の2012から2025までの各種エディションが含まれる。いずれも特定のビルド番号以前のバージョンが対象となる。

　CISAによれば、これらの脆弱性はサイバー攻撃者にとって典型的な侵入経路となりやすく、連邦政府の組織全体のIT環境に深刻なリスクをもたらす。こうした状況を踏まえ、同庁は既知の悪用脆弱性カタログを継続的に更新している。

　同庁は今後も、一定の基準を満たす脆弱性についてカタログへの追加を続ける方針を示している。実際に悪用が確認された脆弱性への迅速な対応が、組織の防御態勢を維持する上で不可欠といえる。