CISA、KEVカタログにScreenConnectとWindowsの脆弱性2件を追加 悪用を確認済:セキュリティニュースアラート
CISAは悪用が確認された2件の脆弱性をカタログに追加した。ConnectWise製ツールとWindows Shellに存在する脆弱性で、遠隔操作やなりすましの恐れがある。防御態勢の維持が強く推奨される。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2026年4月28日(現地時間)、既知の悪用された脆弱(ぜいじゃく)性(KEV)カタログに新たに2件の脆弱性を追加したと発表した。いずれも実際に悪用が確認されているとされ、連邦機関には期限内修正が義務付けられており、他の組織にも対応が強く推奨されている。
ScreenConnectやWindowsの既知の脆弱性悪用をCISAが警告
追加されたのは、「CVE-2024-1708」と「CVE-2026-32202」の2件だ。前者は「ConnectWis」のリモートアクセスツール「ScreenConnect」に存在するパストラバーサルの問題で、細工されたリクエストによって本来制限されるディレクトリ外へのアクセスが可能となる。攻撃者はこの脆弱性を利用し、リモートからのコードの実行をする他、機密情報や重要システムに直接影響を与える恐れがある。影響を受けるのはバージョン23.9.7以前で、23.9.8以降では修正済みとされる。共通脆弱性評価システム(CVSS)v3.1のスコアは8.4で深刻度は重要(High)に分類される。
もう一つの「CVE-2026-32202」は、Windows Shellにおける保護機構の不備に関する脆弱性だ。この問題により、認証されていない攻撃者がネットワーク経由でスプーフィングをする可能性がある。CVSS v3.1のスコアは4.3(Medium)だが、実際の悪用が確認されたことを受け追加された。影響範囲は広く、「Windows 10」「Windows 11」の複数バージョンに加え、「Windows Server」の2012から2025までの各種エディションが含まれる。いずれも特定のビルド番号以前のバージョンが対象となる。
CISAによれば、これらの脆弱性はサイバー攻撃者にとって典型的な侵入経路となりやすく、連邦政府の組織全体のIT環境に深刻なリスクをもたらす。こうした状況を踏まえ、同庁は既知の悪用脆弱性カタログを継続的に更新している。
同庁は今後も、一定の基準を満たす脆弱性についてカタログへの追加を続ける方針を示している。実際に悪用が確認された脆弱性への迅速な対応が、組織の防御態勢を維持する上で不可欠といえる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
米2強が狙う“AI社員”の普及 Anthropicは「業務代行」、OpenAIは「運用プラットフォーム」
AnthropicのCoworkとOpenAIのFrontierは、AIが実務をこなす時代の到来を象徴している。ビジネスの現場はどう変わるのだろうか。
3大キャリアの通話をSalesforceへ自動入力 情報網羅性を高めるナレッジワーク新機能
ナレッジワークは携帯通話を自動録音・解析しSalesforceへ入力する新機能の提供を開始した。3大キャリアに対応し、電話番号を変えることなく文字起こしや要約が可能だ。全商談接点を統合・資産化し、営業の生産性向上を支援する。
AIに関心があっても行動に移せない人が多数? 活用までの障壁をSHIFT AIが調査
SHIFT AIは、AI学習に関する調査結果を公表した。AIへの関心度や実際に学習している内容などに関する調査だ。そのデータから、ユーザーの心理的障壁がAI学習に踏み出すまでの課題となっていることが浮き彫りになった。
生成AI導入の壁は「人材とコスト」 インフラ実態調査で見えた導入実態は
SB C&Sは生成AI普及に伴う企業のAIインフラ整備状況を調査した。企業規模ごとにどの程度AIの導入や案件が広がっているかを調べる踏査により、企業におけるAI活用の現状が浮き彫りになった。