CISAがゼロデイで悪用されたWindowsの欠陥にパッチを当てるよう連邦機関に指示

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、ゼロデイ攻撃で悪用されている脆弱性からWindowsシステムを保護するよう連邦機関に指示しました。

CVE-2026-32202として追跡されているこのセキュリティ欠陥は、サイバーセキュリティ企業Akamaiによって報告されました。Akamaiは、Microsoftが2月にリモートコード実行の欠陥（CVE-2026-21510）に不完全なパッチを当てた後に残されたゼロクリック脆弱性であると述べています。

CERT-UAが明かしたように、ロシアのAPT28（別名UAC-0001およびFancy Bear）サイバースパイ活動グループは、2025年12月にウクライナとEU諸国への攻撃でCVE-2026-21510を悪用し、LNKファイルの欠陥（CVE-2026-21513）も対象とした悪用チェーンの一部として機能しました。

「Microsoftは初期のRCE（CVE-2026-21510）を修正しましたが、認証強制の欠陥（CVE-2026-32202）は残ったままです。パス解決と信頼検証の間のこのギャップは、自動解析されたLNKファイルを介したゼロクリック認証情報窃盗ベクトルを残しました」と、Akamaiは木曜日のレポートで述べました。

Microsoftが説明しているように、「被害者に実行が必要な悪意のあるファイルを送信する」という低複雑性の攻撃によって脆弱性を悪用することに成功したリモート攻撃者は、未パッチのシステムで「いくつかの機密情報を表示する」ことができます。

Microsoftは、BleepingComputerが先週、2026年4月のパッチチューズデーの間にリリースされたアドバイザリーが「Exploitation Detected」の悪用可能性評価を持っていたのに、脆弱性が悪用されていないとフラグが付けられていた理由を尋ねるために連絡を取った後、日曜日に攻撃で悪用されたCVE-2026-3220の欠陥にフラグを付けました。

Microsoftのスポークスパーソンは、APT28ハッカーがこのゼロクリック脆弱性も悪用したかどうかを含む、CVE-2026-32202攻撃に関する詳細情報を求める2番目のメールへの返信をまだしていません。

連邦機関は5月12日までにパッチを当てるよう指示

火曜日、CISAはCVE-2026-32202を既知の悪用脆弱性（KEV）カタログに追加し、拘束力のある運用指令（BOD）22-01で定められているように、連邦文民行政府（FCEB）機関に対し、2週間以内に、5月12日までにWindowsエンドポイントとサーバーにパッチを当てるよう指示しました。

「このタイプの脆弱性は、悪意のあるサイバーアクターの頻繁な攻撃ベクトルであり、連邦企業に大きなリスクをもたらします」とサイバーセキュリティ機関は警告しました。

「ベンダーの指示に従って緩和策を適用するか、クラウドサービスの適用可能なBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」

BOD 22-01は米国連邦機関にのみ適用されますが、CISAはすべてのセキュリティチームに対し、CVE-2026-32202のパッチの導入を優先し、組織のネットワークをできるだけ早く保護するよう促しています。

脅威アクターは、SYSTEMまたは昇格した管理者権限を獲得することを目的とした攻撃で、最近開示された3つのWindowsセキュリティ脆弱性（BlueHammer、RedSun、UnDefendと呼ばれている）を積極的に悪用していることが報告されており、後者の2つはまだパッチを待っています。