米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Adobe ColdFusion商用ウェブアプリ開発プラットフォームで実際に悪用されている最大深刻度の脆弱性について、政府機関に対し金曜日までにパッチを適用するよう命じました。
この脆弱性(CVE-2026-48282)はColdFusionバージョン2025.9、2023.20、およびそれ以前に影響し、権限を持たないリモートの脅威アクターが低複雑度の攻撃で悪用し、未パッチのシステム上でコード実行を達成できるものです。
Adobeは1週間前にセキュリティアップデートをリリースしてこの脆弱性に対処し、悪用のリスクが高いとして管理者に直ちにパッチを適用するよう呼びかけていました。
「今回のアップデートは、特定の製品バージョン・プラットフォームにおいて実際に悪用されている、あるいは悪用されるリスクがより高い脆弱性に対処するものです」と同社は述べています。「Adobeは管理者に対し、できるだけ早く(例えば72時間以内に)アップデートをインストールすることを推奨します」
KEVIntelの創設者Ryan Dewhurst氏は、Adobeがパッチをリリースしてから2日後、攻撃者がAdobeの公開からわずか2時間以内にCVE-2026-48282の悪用を開始していたと警告しています。また、カナダサイバーセキュリティセンター(CCCS)もネットワーク防御担当者に呼びかけ、この進行中の攻撃からシステムを保護するよう促しました。
インターネットセキュリティ監視団体Shadowserverは現在、インターネット上に公開されているAdobe ColdFusionインスタンス約800台を追跡していますが、そのうちどれだけがハニーポットであるか、あるいはCVE-2026-48282の脆弱性を狙う攻撃に対して既に保護されているかについての情報はありません。

火曜日、CISAはCVE-2026-48282を実際に攻撃で悪用されている脆弱性のリストに追加し、拘束的運用指令(BOD)26-04の規定に従い、米国連邦文民行政機関(FCEB)に対して6月10日(金)までにシステムへパッチを適用するよう命じました。
先月公開されたBOD 26-04は、連邦政府機関に対し、脆弱性がCISAのKEVカタログに含まれているか、大規模攻撃に向けて悪用が自動化され得るか、脆弱な資産がインターネット上に公開されているか、そして悪用に成功した場合に攻撃者が対象デバイスの部分的または完全な制御を得られるかどうかに基づいて、パッチ適用の優先順位を決めるよう求めています。
先週、AdobeはColdFusionウェブアプリ開発プラットフォームおよびCampaign Classicマーケティング自動化プラットフォームにおいて他に6件の最大深刻度の脆弱性にもパッチを適用しており、いずれも悪用リスクが高いとタグ付けされていました。
ただし、同社はこれらのいずれについても実際に悪用されているとはまだ認定しておらず、「これらのアップデートで対処した問題のいずれについても、実際の悪用は確認されていない」としています。
4月上旬にも、AdobeはAcrobat Readerの脆弱性(CVE-2026-34621)に対する緊急アップデートをリリースしました。この脆弱性は2025年12月以降ゼロデイとして悪用されていました。
2021年11月以降、CISAはAdobe製品の脆弱性80件を実際に悪用されているセキュリティ脆弱性のリストに追加しており、そのうち10件はランサムウェア攻撃にも悪用されています。
攻撃者に先んじて、すべての防御層をテストする
セキュリティチームが記録できているのは、成功した攻撃のうち54%に過ぎず、アラートが上がるのはわずか14%です。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。