米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ハッカーがLinuxカーネルおよびAndroidオペレーティングシステムの脆弱性を悪用していると警告しています。
同庁が「悪用が確認された脆弱性カタログ」(KEV)に最新追加したCVE-2025-48595は、Androidフレームワークに存在する深刻度の高い整数オーバーフロー脆弱性で、権限昇格に悪用される可能性があります。
Googleの最新セキュリティ情報によると、この脆弱性はAndroid 14から16に影響し、悪用にユーザーの操作は一切必要ありません。
Googleは、CVE-2025-48595が実環境で限定的な標的型攻撃に悪用されている可能性があると示しましたが、攻撃の詳細や脆弱性・インシデントに関する技術情報については明らかにしていません。
この脆弱性は、2026年6月のセキュリティパッチ(セキュリティパッチレベル: 2026-06-01および2026-06-05)のリリースによって修正されています。
CISAがKEVに追加した2つ目の脆弱性はCVE-2022-0492で、複数のLinuxカーネルブランチ(2.6〜4.20および5.5〜5.17)に影響する深刻度の高い権限昇格の欠陥です。
この欠陥はcgroups v1サブシステムの’cgroup_release_agent_write()’関数に存在します。認証チェックが不十分なため、ローカルの攻撃者によって名前空間の分離を回避し、権限を昇格させ、さらにはコンテナを脱出してホストシステム上でrootレベルのアクセス権を取得するために悪用される可能性があります。
Aqua SecurityおよびPalo Alto Networksの過去のレポートによると、この問題は主にcgroups v1を使用するコンテナ化環境に影響し、コンテナに昇格した権限が付与されている場合に特に危険です。
この脆弱性に対処したLinuxカーネルのバージョンは以下のとおりです。
- 4.9.301+
- 4.14.266+
- 4.19.229+
- 5.4.177+
- 5.10.97+
- 5.15.20+
- 5.16.6+
- 5.17-rc3+
CISAがこれら2つの脆弱性をKEVに掲載したことにより、BOD 22-01指令に拘束されるすべての連邦機関は、ベンダーが提供するセキュリティアップデートおよび緩和策を適用するか、影響を受けるソフトウェアの使用を停止することが義務付けられます。CISAは期限を6月5日と定めています。
ただし、KEVは重要インフラ事業者や大規模組織全般にとっても重要な情報源であり、これらの組織も同等の緊急性をもってセキュリティ対策を講じることが求められます。
なお、これらの脆弱性はいずれもランサムウェアグループによる悪用フラグが付いていません。このフラグはCISAがKEVエントリにおいて特別な深刻度とパッチ適用の緊急性を示す際に使用するものです。
検証のギャップ:自動ペネトレーションテストが答える問いはひとつ。本当に必要な問いは六つある
自動ペネトレーションテストツールは確かな価値を提供しますが、設計上の目的はひとつの問いに答えることにあります。それは「攻撃者はネットワーク内を横断移動できるか」という問いです。コントロールが脅威をブロックできるか、検知ルールが機能するか、クラウド設定が堅牢かといった問いに答えるようには作られていません。
本ガイドでは、実際に検証すべき6つの攻撃対象領域を解説します。
