サイバーセキュリティ📖 1分で読了

CISA、悪用確認済み脆弱性5件追加|企業の緊急対応ポイントMicrosoft Office・Linux Kernelなど重要システムが対象、今すぐ確認すべき理由

CISA、悪用確認済み脆弱性5件追加|企業の緊急対応ポイント

CISAが悪用確認済みの脆弱性5件をKEVカタログに追加。Microsoft Office、Linux Kernel、SmarterMailなど影響範囲が広く、企業は即座に資産棚卸とパッチ適用が必要です。具体的な対応手順を解説。

💡 今すぐ相談したい方へ|30分の無料相談で現状整理をお手伝いします

相談してみる

米国CISAが「悪用確認済み」脆弱性を5件追加、日本企業も要対応

米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は2026年1月26日、実際に攻撃者による悪用が確認された脆弱性5件を「KEV(Known Exploited Vulnerabilities)カタログ」に追加しました。Microsoft OfficeやLinux Kernelなど、日本企業でも広く利用されている製品が含まれており、該当する場合は即座のパッチ適用が求められます。詳細はCISAの公式発表をご確認ください。

【要点】

  • 何が起きた:CISAがKEVカタログに"実際に悪用されている"脆弱性5件を追加(2026年1月26日)

  • まずやる:自社資産の棚卸し → 該当CVEの有無確認 → パッチ適用

  • 難しい場合:ベンダー推奨の緩和策を実施し、KEVカタログとの連携監視を即日開始

今回追加された5件の脆弱性とその影響

今回KEVカタログに追加された脆弱性は、以下の5件です。CVE-2018-14634はLinux Kernelにおける整数オーバーフローの脆弱性で、2018年に発見されたものですが、現在も攻撃に悪用されていることが確認されました。CVE-2025-52691およびCVE-2026-23760はSmarterTools社のSmarterMailに関する脆弱性で、危険なファイルのアップロードや認証バイパスが可能となります。

CVE-2026-21509はMicrosoft Officeのセキュリティ機能バイパスの脆弱性です。ローカル環境での攻撃により、セキュリティ機能を回避される恐れがあります。Office 2016、2019、2021など複数バージョンが影響を受けるため、多くの企業で確認が必要です。CVE-2026-24061はGNU InetUtilsのtelnetdにおける引数インジェクションの脆弱性で、リモートからの認証バイパスが可能となります。

これらの脆弱性に共通するのは、すべてが「実際の攻撃で悪用されている」という点です。理論上のリスクではなく、現実の脅威として対処が必要な状況にあります。実務上の切り分けとして、サーバ系(SmarterMail、InetUtils)、端末系(Microsoft Office)、基盤系(Linux Kernel)と分類して対応優先度を判断することが有効です。

KEVカタログとは何か、なぜ重要なのか

ここまで読んで
「うちも同じだ」と思った方へ

課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

KEVカタログは、CISAが管理する「悪用が確認された脆弱性」のデータベースです。Cyble社の分析レポートによると、2025年末時点で1,484件以上の脆弱性が登録されており、2025年だけで245件が新たに追加されました。これは前年比約20%の増加となります。

このカタログの特徴は、単なる脆弱性情報の羅列ではなく、「実際に攻撃者が悪用している」ことが確認された脆弱性のみが登録される点にあります。米国連邦機関には期限付きでの対応が義務付けられていますが、CISAは民間企業に対しても優先的な対応を強く推奨しています。

SecurityWeekの報道によれば、2025年にKEVカタログに追加された脆弱性のうち24件がランサムウェア攻撃に使用されていました。KEVカタログへの追加は、その脆弱性が攻撃者にとって「使える武器」として認識されていることを意味します。

御社が今すぐ実施すべき対応

KEVカタログへの追加は、脆弱性対応の優先度を判断する上で最も重要な指標の一つです。まず、自社で利用しているソフトウェアやシステムの棚卸しを実施し、今回追加された5件のCVEに該当する製品がないかを確認してください。特にMicrosoft Officeは多くの企業で利用されているため、バージョンの確認が急務となります。

該当する脆弱性が見つかった場合は、ベンダーが提供するパッチを速やかに適用します。Microsoftは既に該当する脆弱性に対するセキュリティ更新プログラムを公開しています。パッチ適用が即座に難しい場合は、ベンダーが推奨する暫定的な緩和策を実施してください。

さらに、自社の脆弱性管理プロセスにKEVカタログの監視を組み込むことを推奨します。CISAはCSV形式やJSON形式でカタログを公開しており、自動的な突合チェックが可能です。脆弱性スキャンツールの結果とKEVカタログを照合することで、優先度の高い対応漏れを防ぐことができます。

加えて、今回のような古い脆弱性(CVE-2018-14634は2018年発見)が悪用されている事実は、過去のパッチ適用漏れがないかを改めて確認する必要性を示唆しています。定期的な脆弱性アセスメントの実施も検討すべきでしょう。

まとめ

CISAが悪用確認済みの脆弱性5件をKEVカタログに追加しました。Microsoft OfficeやLinux Kernelなど影響範囲の広い製品が含まれており、該当する場合は即座の対応が必要です。自社資産の棚卸し、パッチ適用、そしてKEVカタログを活用した継続的な脆弱性管理が重要となります。

脆弱性対応やセキュリティ体制の構築にお悩みの方は、180社以上の支援実績を持つGXOにご相談ください。SIEM/SOARの導入からSOC運用、インシデント対応まで、一気通貫でご支援いたします。

お問い合わせはこちら

「やりたいこと」はあるのに、
進め方がわからない?

DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

こちらの記事もおすすめ

同じカテゴリ【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

2025年12月10日 · 2分で読了

同じカテゴリ【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

2026年1月13日 · 8分で読了

同じカテゴリChrome脆弱性CVE-2026-0628が問いかける「企業のセキュリティ体制」の本質

Chrome脆弱性CVE-2026-0628が問いかける「企業のセキュリティ体制」の本質

2026年1月12日 · 9分で読了