出典: Security NEXT – https://www.security-next.com/181805
米当局、悪用カタログに既知脆弱性5件を登録 – AppleやRockwellなど
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、悪用が確認された既知の脆弱性5件を「悪用が確認された脆弱性カタログ(KEV)」に新たに登録しました。これらはApple製品を中心に、2026年3月5日に発表されたもので、実際に攻撃に利用されていることが確認されています。
主要なポイント
- 悪用が確認された脆弱性5件を追加:2017年から2023年にかけて発見された脆弱性で、実際に攻撃に使われていることが確認されている。
- Apple製品に関する脆弱性が3件:「iOS」「iPadOS」「macOS」「Safari」などのソフトウェアに影響し、Googleの脅威インテリジェンスチームが悪用を確認。
- 具体的な脆弱性例:整数オーバーフローの「CVE-2021-30952」、Use After Freeの「CVE-2023-41974」「CVE-2023-43000」など。
- 修正と公表の遅れ:「CVE-2023-43000」は2023年7月に修正されたが、Appleの公表は約2年後の2025年11月だった。
- 悪用の実態:Googleのエクスプロイトキットにより実際に攻撃が行われていることが報告されている。
技術的な詳細や背景情報
今回登録された脆弱性の中には、整数オーバーフローやUse After Freeといったメモリ管理に関わる脆弱性が含まれています。整数オーバーフローは、プログラムが想定する数値の範囲を超えた演算を行うことで、予期しない動作や権限昇格を引き起こす可能性があります。一方、Use After Freeは、解放済みのメモリ領域を再利用しようとすることで、攻撃者が任意のコードを実行できる脆弱性です。
これらの脆弱性は、AppleのモバイルOSやデスクトップOS、ブラウザに影響を与え、ユーザーのデバイスがリモートから攻撃されるリスクを高めています。Googleの脅威インテリジェンスチームがエクスプロイトキット(攻撃用ツールキット)での悪用を確認していることから、実際の攻撃が活発に行われていることがうかがえます。
影響や重要性
これらの脆弱性は、広く利用されているApple製品を対象としているため、多数のユーザーが影響を受ける可能性があります。特にスマートフォンやタブレット、パソコンのOSやブラウザの脆弱性は、個人情報の漏洩やデバイスの乗っ取りなど重大な被害につながる恐れがあります。
また、修正が行われていても公表が遅れるケースがあるため、ユーザーや管理者は常に最新のアップデート情報を確認し、迅速に適用することが重要です。CISAの悪用が確認された脆弱性カタログ(KEV)は、セキュリティ対策の優先順位付けに役立つため、企業や組織のセキュリティ担当者は定期的にチェックすることが推奨されます。
まとめ
米CISAは、Apple製品を中心に悪用が確認された既知の脆弱性5件を悪用カタログに追加しました。これらの脆弱性は実際に攻撃に利用されており、ユーザーや企業は速やかな対策が求められます。特にメモリ管理に関わる脆弱性は深刻な影響を及ぼすため、OSやアプリケーションのアップデートを怠らないことが重要です。今後もCISAの情報を活用し、最新の脆弱性情報に注意を払いましょう。
