今日やること(10分でできる初動確認)
社内のOfficeのバージョンを一覧できるか確認
共有PC・倉庫/工場PC・退職者PCが更新対象に入っているか確認
サーバー管理ツール(OneView含む)を「使っていない」と断言できるか確認
→ 1つでも「不明」なら、「現状整理」から着手するのが最短ルートです。
はじめに:「すでに悪用されている脆弱性」が追加された意味
米国のサイバーセキュリティ機関「CISA(シーサ)」が、Known Exploited Vulnerabilities(KEV)カタログに新たな脆弱性を追加しました。
CISAは2026年1月7日、Microsoft Office(CVE-2009-0556)とHPE OneView(CVE-2025-37164)をKEVカタログに追加しました。
米連邦機関には2026年1月28日までの対処が求められており、放置リスクが高いカテゴリの脆弱性であることが分かります。
※この期限は米連邦機関向けの指示ですが、一般企業にとっても「優先度を上げるべき脆弱性」の目安になります。
KEVカタログとは、「すでに実際の攻撃で悪用されている脆弱性」のリストです。つまり、理論上の危険ではなく、現実に被害が出ている脆弱性だけが登録されます。NVD(NIST National Vulnerability Database)でも、これらの脆弱性がKEVに追加された旨が確認できます。
今回追加されたのは、以下の2件です。
Microsoft Office(CVE-2009-0556)
HPE OneView(CVE-2025-37164)
「2009年の脆弱性?」「HPE OneViewって何?」と思われた方も多いかもしれません。しかし、この2つが「今」追加されたことには、企業として見逃せない意味があります。
今回追加された脆弱性の概要
Microsoft Office(CVE-2009-0556):16年前の脆弱性が「今」狙われている
CVE-2009-0556は、古いMicrosoft Office(特にPowerPoint)で指摘された脆弱性です。2009年に発見され、当時修正パッチも公開されました。
しかし、16年経った今でも、未更新の環境ではこの脆弱性を悪用した攻撃のリスクが残っています。CISAのKEVカタログに追加されたということは、現在も悪用が確認されているということです。
なぜでしょうか。答えはシンプルです。古いOfficeがまだ使われている環境があるからです。
特に以下のような環境では、この脆弱性が残っている可能性があります。
Windows 7時代から使い続けている共有PC
退職者が使っていた端末(そのまま放置)
「動いているから」と更新されていない業務用PC
サポート終了したOfficeバージョン(Office 2007/2010など)
※影響範囲は環境・構成・バージョンにより異なります。正確な対象判定には資産情報の棚卸しが必要です。
攻撃者は、新しい脆弱性だけを狙うわけではありません。「古い脆弱性=対策されていない環境が残っている」と知っているからこそ、あえて古い攻撃手法を使うのです。
HPE OneView(CVE-2025-37164):管理基盤が侵害される怖さ
HPE OneViewは、HPE(ヒューレット・パッカード・エンタープライズ)が提供するサーバーやストレージを一元管理するためのツールです。
「うちはHPEのサーバーは使っていない」と思った方も、確認が必要です。データセンターや外注先のシステム、クラウド基盤の裏側でHPE製品が使われているケースは珍しくありません。
この脆弱性の怖さは、「管理ツール」が侵害されるという点にあります。
管理ツールは、配下のサーバーやストレージに対して強い権限を持っています。ここが侵害されると、管理下にあるすべてのシステムに影響が及ぶ可能性があります。
HPEは本件に関するセキュリティアドバイザリを公開し、更新(修正)の適用を推奨しています。 該当環境がある場合は、HPEの公式情報を確認のうえ、早急な対応を検討してください。
なぜ日本企業でも他人事ではないのか
「KEVはアメリカの話でしょ?」「うちは中小企業だから狙われない」──そう思っていませんか。
しかし、現実は違います。
古い端末・共有PC・退職者PCが残っている
日本企業の多くには、「まだ動いているから」という理由で使い続けている古い端末が存在します。
経理部門の専用PC(10年前のExcelマクロが動くから更新できない)
倉庫や工場の共有PC(誰も管理していない)
退職者が使っていたPC(データ移行が終わらず放置)
これらの端末は、セキュリティ更新が止まっていることが多く、古い脆弱性がそのまま残っています。
情シス不在・属人化
中小企業では、専任の情報システム担当者がいないケースが珍しくありません。
総務が「ついでに」IT管理をしている
「詳しい社員」が個人的に対応している
外注しているが、何を任せているか把握していない
こうした状況では、どの端末にどのソフトウェアが入っているか、正確に把握できていないことがほとんどです。
「把握できていないシステム」が最大のリスク
セキュリティ対策で最も危険なのは、「何が危険か分からない」状態です。
把握できていない端末、把握できていないソフトウェア、把握できていない外注先のシステム。これらは、脆弱性があっても気づけず、攻撃を受けても検知できません。
よくある3つの誤解
誤解1:「古い脆弱性=もう安全」
古い脆弱性は、むしろ危険です。「古い=対策されていない環境が残っている」と攻撃者は考えます。
CVE-2009-0556が16年経った今CISAのKEV(Known Exploited Vulnerabilities)カタログに追加されたのは、今も悪用されているからです。「古いから大丈夫」は通用しません。
誤解2:「大企業が狙われる」
攻撃者は「大企業か中小企業か」で選んでいません。「侵入しやすいかどうか」で選んでいます。
セキュリティ対策が手薄な中小企業は、むしろ「入りやすい入口」として狙われます。さらに、取引先の大企業に侵入するための「踏み台」として利用されるケースも増えています。
誤解3:「パッチは当てているつもり」
Windows Updateを自動にしていても、すべてのソフトウェアが更新されるわけではありません。
Microsoft Officeの更新は別設定が必要な場合がある
管理ツールやサーバーソフトウェアは手動更新が必要
古いバージョンはそもそもサポート対象外
「つもり」と「実態」のギャップが、脆弱性を放置する原因になります。
今すぐ確認すべきチェックリスト
以下の項目について、自社の状況を確認してください。1つでも「分からない」がある場合は、リスクが可視化できていない状態です。
☐ 社内で使用しているMicrosoft Officeのバージョンを把握している
☐ サポート終了したOffice(2007/2010/2013など)を使っている端末がないか確認済み
☐ 退職者が使っていたPCの扱い(初期化・廃棄・再利用)が明確になっている
☐ 共有PCや工場・倉庫のPCも、セキュリティ更新の対象に含まれている
☐ 外注先・データセンターで使用している管理ツールを把握している
☐ 脆弱性情報が出たときに、自社への影響を判断できる体制がある
「把握していない」「分からない」が1つでもあれば、それ自体がリスクです。
診断結果の目安
結果 | 状態 | 推奨アクション |
|---|---|---|
✅ すべて把握・確認済み | 良好 | 優先順位の再点検(四半期ごと推奨) |
⚠️ 1つでも不明がある | リスクが見えていない状態 | 最優先で棚卸しを実施 |
🚨 サポート切れ端末あり/不明が複数 | 早急な対策設計が必要 | 侵入経路になり得るため専門家への相談推奨 |
次にやるべきこと:止めないための現実的な対処手順
チェックリストで「不明」があった場合、以下の順序で対応を進めるのが現実的です。
①資産棚卸し
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
まずは「何があるか」を把握します。
社内で使用しているOfficeのバージョン一覧
端末台数と設置場所(本社・拠点・倉庫・工場)
管理ツールの有無(OneView含む)
②影響範囲の特定
棚卸し結果をもとに、今回のKEVに該当する可能性がある範囲を絞り込みます。
古いOfficeが残っている端末の特定
共有PC・退職者PC・外注先の範囲確認
管理ツールの利用有無(外注先含む)
③パッチ適用計画の策定
影響範囲が特定できたら、パッチ適用の計画を立てます。
検証環境でのテスト
本番適用のスケジュール
ロールバック手順の準備
④適用までの暫定対策
パッチ適用までに時間がかかる場合は、暫定的なリスク軽減策を検討します。
該当端末のネットワーク分離
アクセス制限の強化
監視・ログ取得の強化
⑤適用後の確認
パッチ適用後も、確認作業が必要です。
適用が正しく完了したかの確認
ログ・アラートの監視
必要に応じた再スキャン
「どこから手を付けていいか分からない」場合は、①の棚卸しから始めるのが最短ルートです。
解決の第一歩は「整理」から
脆弱性対応というと、「高度な技術が必要」「専門家でないと無理」と思われがちです。
しかし、実際に最も重要なのは「整理」です。
何が、どこに、どれだけあるのか
誰が、何を、どこまで管理しているのか
どこから手を付けるべきか
これが整理できていない状態で、いくらツールを導入しても、パッチを当てても、穴は塞がりません。
多くの企業が抱えている課題は、「技術がない」ではなく「何から手を付けていいか分からない」です。
まずは「影響があるか」だけ一緒に確認しませんか(無料・30分)
「うちの会社、このままで大丈夫だろうか」
「把握できていない部分があるのは分かっている」
「でも、何から手を付けていいか分からない」
以下のどれか1つでも当てはまる場合、最短で"現状整理"をやる価値があります。
Officeのバージョンを一覧で言えない
共有PC/倉庫PC/退職者PCの管理が曖昧
外注先の管理ツールまで把握できていない
無料相談でやること(売り込みなし)
今回のKEVが自社に影響する可能性の整理
いま確認すべき対象(端末/ソフト/外注範囲)の洗い出し
優先順位(止めない・漏らさない順)の方針づくり
「今すぐ全部直す」相談ではありません。
"どこが分かっていないか"を一緒に見える化します。
GXO株式会社の対応範囲(例)
IT資産の棚卸し(端末/ソフト/外注範囲)
脆弱性対応の優先順位づけ(止めない設計)
パッチ適用計画と検証支援
運用ルール整備(属人化対策)
※攻撃手法の詳細共有や不正利用につながる情報提供は行いません。
いきなり相談がハードルなら、まずは「影響確認シート(無料)」で社内確認に必要な項目だけ整理できます。
(内容:Officeバージョン確認項目/共有PCの管理確認/外注先・データセンター確認項目を1枚に整理)
30秒で送信できます(会社名・ご担当名・連絡先・簡単な状況だけ)
※営業目的の一斉連絡は行いません(必要な範囲で1回ご連絡します)
ご相談時は「CISA KEVの記事を見た」とお伝えいただければスムーズです。
よくあるご質問(FAQ)
Q1. KEVカタログとは何ですか?
米国CISAが公開している「すでに実際の攻撃で悪用されている脆弱性」のリストです。理論上の危険ではなく、現実に被害が出ている脆弱性が登録されています。
Q2. 2009年の脆弱性が今さら危険なのですか?
はい。古い脆弱性は「対策されていない環境が残っている」ことを攻撃者は知っています。実際に今も悪用されているからこそ、KEVに追加されました。
Q3. HPE OneViewを使っていなければ関係ありませんか?
直接使っていなくても、外注先やデータセンター、クラウド基盤の裏側で使われている可能性があります。「把握していない」こと自体がリスクです。
Q4. 中小企業でも狙われますか?
はい。攻撃者は「侵入しやすいかどうか」で選びます。セキュリティ対策が手薄な中小企業は、むしろ狙われやすい傾向にあります。
Q5. 相談時に何を準備すればいいですか?
特別な準備は不要です。「把握できていないことがある」「何から手を付けていいか分からない」という状態からでも、現状整理から一緒に進められます。
監修・提供
GXO株式会社(セキュリティ/脆弱性対応・運用支援)
※攻撃手法の助長につながる情報提供は行わず、現状整理・優先順位付け・適用計画の支援を中心に対応しています。
参考情報
一次情報
国内公的機関
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
