米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、既知の悪用されている脆弱性(KEV)カタログに、新たに発見された欠陥と、はるかに古い欠陥の両方を追加しました。
KEVカタログは、連邦文民行政機関(FCEB)に対し、実際に悪用されていることが確認されている脆弱性の一覧と、修正パッチを適用しなければならない期限を提供します。今回の2件はいずれも、期限が2026年1月28日です。
ただし、CISAのアラートは政府機関だけのものではありません。現実世界での悪用状況に基づき、どの脆弱性から優先して修正すべきかについて、企業やエンドユーザー向けの指針も示しています。
HPE OneViewの重大な欠陥
最近見つかった脆弱性はCVE-2025-37164として追跡されており、CVSSスコアは10点満点中10点で、リモートコード実行を可能にします。この欠陥は、ITインフラの管理に用いられるプラットフォームであるHPE OneViewに影響し、パッチは2025年12月17日に公開されました。
この重大な脆弱性により、リモートの未認証攻撃者がコードを実行でき、サーバー、ファームウェア、ライフサイクル管理に対して大規模な制御を獲得する可能性があります。HPE OneViewのような管理プラットフォームは、企業ネットワークの奥深くに配備されることが多く、信頼されているがゆえに広範な権限を持ち、監視も限定的になりがちです。
概念実証(PoC)コードは、Metasploitモジュールの形で、パッチ公開のわずか1日後に一般公開されました。
2009年のPowerPoint脆弱性が再浮上
ここでいう“サイバー界の恐竜”は、Microsoft PowerPointの脆弱性で、CVE-2009-0556として追跡されており、15年以上前にさかのぼります。影響を受けるのは次のとおりです:
- Microsoft Office PowerPoint 2000 SP3
- PowerPoint 2002 SP3
- PowerPoint 2003 SP3
- Mac向けMicrosoft Office 2004のPowerPoint
この欠陥により、リモート攻撃者は、メモリ破損を引き起こすよう細工されたPowerPointファイルを被害者に開かせることで、任意のコードを実行できます。
過去には、この脆弱性はApptomとして知られるマルウェアによって悪用されていました。CISAが古いエクスプロイトに基づいてKEVカタログへ脆弱性を追加することはまれであるため、2009年のPowerPoint脆弱性が「突然」再浮上したことは、攻撃者がいまだに運用されているレガシー版Officeのインストールを狙っていることを示唆します。
悪用に成功すると、攻撃者は任意のコードを実行し、マルウェアを展開し、ネットワーク内での横展開の足がかりを確立できます。HPE OneViewの欠陥とは異なり、この攻撃にはユーザー操作が必要で、標的が悪意のあるPowerPointファイルを開かなければなりません。
安全を保つために
脆弱性管理においては、どのパッチを適用するかを優先順位付けすることが、安全を保つうえで重要な要素です。したがって、既知の脆弱性の悪用被害に遭わないために:
- 現在活発に悪用されているものの指針として、CISA KEVカタログを注視してください。
- 日常業務を妨げない範囲で、可能な限り速やかに更新してください。
- エクスプロイトやマルウェア攻撃を遮断するため、リアルタイムで最新のマルウェア対策ソリューションを使用してください。
- 信頼できる送信者であることを確認するまでは、依頼していない添付ファイルを開かないでください。
