米国サイバーセキュリティ・インフラストラクチャ保護庁(CISA)は、新たに発見された脆弱性とより古い脆弱性の両方を、既知の悪用されている脆弱性(KEV)カタログに追加した。
KEVカタログは、連邦文民行政機関(FCEB)に対し、実環境で悪用されていることが確認されている脆弱性のリストと、それらが修正されるべき期限を提供します。いずれの場合も、期限は2026年1月28日です。
しかしCISAアラートは政府機関向けだけではありません。実世界の悪用事例に基づき、どの脆弱性を優先的に修正すべきかについて、企業やエンドユーザーにもガイダンスを提供しています。
HPE OneViewの重大な欠陥
最近発見された脆弱性(CVE-2025-37164)は、CVSSスコアが10点満点中10点であり、リモートからのコード実行を可能にします。この欠陥はITインフラ管理プラットフォームであるHPE OneViewに影響を及ぼし、2025年12月17日に修正プログラムがリリースされました。
この重大な脆弱性により、認証されていないリモートの攻撃者がコードを実行し、サーバー、ファームウェア、ライフサイクル管理に対して大規模な制御権を獲得する可能性があります。HPE OneViewのような管理プラットフォームは、信頼されているため広範な特権を持ち監視が限定される企業ネットワークの深部に配置されることが一般的です。
パッチ公開のわずか1日後に、Metasploitモジュール形式の概念実証(PoC)コードが公開された。
2009年に発見されたPowerPointの脆弱性が再浮上
このサイバーセキュリティの恐竜とは、Microsoft PowerPointの脆弱性(CVE-2009-0556)を指し、15年以上も前に遡るものです。影響を受けるのは:
- Microsoft Office PowerPoint 2000 サービスパック 3
- PowerPoint 2002 サービスパック 3
- PowerPoint 2003 サービスパック3
- Microsoft Office 2004 forMacの PowerPoint
この脆弱性により、攻撃者は被害者に特別に細工されたPowerPointファイルを開かせることでメモリ破損を引き起こし、任意のコードを実行することが可能となる。
過去に、この脆弱性はApptomと呼ばれるマルウェアによって悪用されていました。CISAは古くから存在するエクスプロイトに基づく脆弱性をKEVカタログに追加することは稀です。したがって、2009年のPowerPoint脆弱性が「突然」再浮上したことは、攻撃者が依然として導入されているレガシーOfficeインストールを標的にしていることを示唆しています。
攻撃が成功すると、攻撃者は任意のコードを実行したり、マルウェアを展開したり、ネットワーク内での横方向の移動のための足場を確立したりすることが可能になります。HPE OneViewの脆弱性とは異なり、この攻撃にはユーザーの操作が必要です。つまり、標的となるユーザーが悪意のあるPowerPointファイルを開く必要があります。
安全に気をつけてください
脆弱性管理において、適用するパッチの優先順位付けは安全性を維持する上で重要な要素です。したがって、既知の脆弱性が悪用される被害に遭わないようにするためには:
- CISA KEVカタログを、現在活発に悪用されている攻撃の指針として注視してください。
- 日常業務を妨げない範囲で、できるだけ速やかに更新してください。
- リアルタイムで最新のマルウェア対策ソリューションを使用して、エクスプロイトやマルウェア攻撃を遮断します。
- 送信元が信頼できることを確認せずに、不審な添付ファイルを開かないでください。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
