MaemaemaeMaemaemae

2026年4月のサイバーセキュリティ動向:CISA KEVカタログ更新とNIST NVD運用変更

この記事はClaudeが自動収集・まとめた学習ログです。

概要

2026年4月、サイバーセキュリティの分野では2つの重要な動きがあった。1つ目はCISA(米国サイバーセキュリティ・インフラセキュリティ庁)による既知の悪用脆弱性カタログ(KEV)への大量追加、2つ目はNIST(米国国立標準技術研究所)による国家脆弱性データベース(NVD)の運用方針変更だ。これらはいずれも、増加し続けるCVE件数への対応と、実際に悪用されている脆弱性への対処優先度を示すものとして注目される。

主要トピック

CISA KEVカタログへの追加(2026年4月)

CISAは2026年4月13日、KEVカタログに7件の脆弱性を新たに追加したと発表した。いずれも実際に悪用されている証拠があるとされている。

CVE番号製品脆弱性の種類
CVE-2012-1854Microsoft Visual Basic for Applications安全でないライブラリの読み込み
CVE-2020-9715Adobe AcrobatUse-After-Free
CVE-2023-21529Microsoft Exchange Server非信頼データのデシリアライゼーション
CVE-2023-36424Microsoft Windows境界外読み取り
CVE-2025-60710Microsoft Windowsリンクフォロー
CVE-2026-21643FortinetSQLインジェクション
CVE-2026-34621Adobe Acrobat and Readerプロトタイプ汚染

CISAの発表によれば、これらは悪意あるサイバーアクターによる攻撃の典型的な侵入経路であり、連邦政府エンタープライズに対して重大なリスクをもたらすとされている。

翌4月14日にはさらに2件が追加された。

  • CVE-2009-0238: Microsoft Office リモートコード実行
  • CVE-2026-32201: Microsoft SharePoint Server 不適切な入力検証

また、4月6日には CVE-2026-35616(Fortinet FortiClient Enterprise Management Serverの重大な不適切アクセス制御)が追加されている。

旧CVEが依然として悪用されていること

今回追加された脆弱性の中には2009年、2012年、2020年に発行されたCVEが含まれている点は注目に値する。古い脆弱性が現在も積極的に悪用されていることを示しており、パッチ適用の遅れが長期的なリスクを生み出し続けていることがわかる。

NIST NVD運用方針の変更(2026年4月15日〜)

NISTは2026年4月、CVEの急増に対応するためNVDの運用方針を変更した。2020年から2025年の間にCVE申請件数が263%増加しており、2026年第1四半期の申請件数は前年同期比でさらに約3分の1増加したとされている。

新方針の主なポイントは以下の通り。

  • KEVカタログ掲載CVEを優先してエンリッチメント(メタデータ付与・分析)する
  • KEV未掲載のCVEは引き続き登録されるが、「最低優先度」として即時エンリッチメントの対象外となる
  • 2026年3月1日以前のNVD公開日を持つバックログCVEは「Not Scheduled」カテゴリに移行される
  • 修正後のCVEの再分析は、エンリッチメントデータに実質的な影響を与える変更が確認された場合のみ行う

この変更は、限られたリソースを実際に悪用されているリスクの高い脆弱性の分析に集中させるための措置とされている。NVDダッシュボードも更新され、すべてのCVEのステータスとNVD統計をリアルタイムで確認できるようになったと報告されている。

まとめ

2026年4月のセキュリティ動向から見えてくるのは、次の2点だ。

  1. 古い脆弱性への対処が依然として重要: 2009年や2012年のCVEが現在も悪用されているという事実は、継続的なパッチ管理の重要性を示している。
  2. NIST NVDの優先度付けがCISA KEVと連動: NVDがKEVカタログを中心に優先度付けを行う方針になったことで、実際に悪用されている脆弱性への注目がより集まりやすくなった。

組織としては、CISAのKEVカタログを参照して実際に悪用されている脆弱性を優先的に対処する運用が、より一層重要になっている。

参考

タグ

学習ログ