CISA、「既知の悪用された脆弱性カタログ」に1週間で75件追加

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2022-05-30 12:20

 セキュリティチームに休む暇はない。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、修正するべき脆弱性のリストに、複数のソフトウェアの脆弱性を追加した。Microsoftの「Silverlight」プラグインやAdobeの「Flash Player」など、古いソフトウェアの脆弱性も含まれる。

 CISAは先週、「既知の悪用された脆弱性カタログ」(KEV)に、修正するべき脆弱性群を3回に分けて追加した。1回目は21件2回目は20件3回目は34件だ。米国の連邦政府機関は、CISAが定めた期限までにこれらの脆弱性にパッチを適用する必要がある。

 これには、古いソフトウェアの脆弱性も含まれる。今回、2021年10月にサポートが終了したMicrosoftのSilverlightや、開発が終了しているAdobeのFlash Playerプラグインなどの古い脆弱性も対象となっている。すべてのブラウザーはFlashとFlashコンテンツのサポートを終了しており、Microsoftは2021年、「Windows」からFlashを削除した。

 Silverlightが組織内部のレガシーアプリケーションやウェブサイトとして政府のシステムのどこかに存在している可能性は残っている。Silverlightアプリケーションは、最新の「Edge」ブラウザーのIEモードで、現在でも機能する。

 CISAによる今回のKEVの更新では、2015年や2016年に開示されたFlashの脆弱性や、Silverlightの脆弱性が追加された。

 また、2015~2018年の間に開示されたWindowsの複数の脆弱性、2014年に発見された「Internet Explorer」の複数の問題、2014年に発見された「Linux」カーネルの特権昇格の脆弱性、2010年代前半にさかのぼるOracle「Java Runtime Environment(JRE)」のリモートコード実行の脆弱性も含まれる。

 今回追加された脆弱性には非常に古いものがある。マルウェアを利用する攻撃者は、パッチが適用されていないソフトウェアが存在することを認識しており、古い脆弱性のエクスプロイトを頻繁に利用している。

 脆弱性の新旧を問わず、CISAは「これらのタイプの脆弱性は、頻繁に悪質なサイバーアクターの攻撃ベクトルとなっており、連邦組織に重大なリスクをもたらす」として注意喚起している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]