2026年4月のサイバーセキュリティ動向:CISA KEV更新とNISTのNVD運用変更
この記事はClaudeが自動収集・まとめた学習ログです。
概要
2026年4月、サイバーセキュリティの観点で注目すべき動きが相次いだ。CISAは4月13〜16日にかけてKnown Exploited Vulnerabilities(KEV)カタログへ合計10件の脆弱性を追加した。連邦行政機関には2026年4月27日までのパッチ適用が義務付けられている。また同じ週、NISTは急増するCVE登録数に対応するためNational Vulnerability Database(NVD)の運用方針を改訂し、リスクに基づく優先付けモデルへ移行することを発表した。
主要トピック
CISA KEVカタログへの4月追加分
CISAは以下のスケジュールで脆弱性をKEVカタログへ追加した。
4月13日(7件)
| CVE | 製品 | 種別 |
|---|---|---|
| CVE-2012-1854 | Microsoft Visual Basic for Applications | Insecure Library Loading |
| CVE-2020-9715 | Adobe Acrobat | Use-After-Free |
| CVE-2023-21529 | Microsoft Exchange Server | Deserialization of Untrusted Data |
| CVE-2023-36424 | Microsoft Windows | Out-of-Bounds Read |
| CVE-2025-60710 | Microsoft Windows | Link Following |
| CVE-2026-21643 | Fortinet | SQL Injection |
| CVE-2026-34621 | Adobe Acrobat and Reader | Prototype Pollution |
4月14日(2件)
- CVE-2009-0238:Microsoft Office Remote Code Execution
- CVE-2026-32201:Microsoft SharePoint Server Improper Input Validation
4月16日(1件)
- CVE-2026-34197:Apache ActiveMQ Improper Input Validation(後述)
いずれも「野生での積極的な悪用が確認された」としてカタログへ登録された。Federal Civilian Executive Branch(FCEB)機関には2026年4月27日までの修正が求められている。
Apache ActiveMQ RCE脆弱性(CVE-2026-34197)
本件は研究者がClaude AIの支援を受けて発見した10年以上前から潜在していたとされるRCEで、2026年4月にCISA KEVへ追加された。
技術概要
Apache ActiveMQ ClassicはWebコンソールの /api/jolokia/ でJolokia JMX-HTTPブリッジを公開している。デフォルトのJolokiaアクセスポリシーはActiveMQ全MBean(org.apache.activemq:*)に対してexec操作を許可しており、認証済み攻撃者がBrokerService.addConnector()などのAPIを細工したdiscovery URIで呼び出すと、VMトランスポートのbrokerConfigパラメータがリモートのSpring XML application contextを読み込み、Springのbean初期化処理(Runtime.exec()など)を通じて任意コードを実行できると報告されている。
- CVSS スコア:8.8
- 特記事項:CVE-2024-32114の影響を受けるバージョン(6.0.0〜6.1.1)ではJolokia APIが認証なしで露出するため、事実上の未認証RCEとなる
- 悪用確認:Fortinet FortiGuard Labsが2026年4月14日前後に数十件の悪用試行を観測したと報告
修正バージョン
- ActiveMQ Classic 6.2.3
- ActiveMQ Classic 5.19.4
NISTによるNVD運用方針の変更(2026年4月15日)
NISRは2026年4月15日から、CVE登録数の急増に対応するためNVDの優先付けモデルを変更した。CVEの登録数は2020〜2025年の間に263%増加したと報告されており、全件へのメタデータ付与(CVSS評価・影響製品リストなど)が困難になっていた。
新しい優先付け基準
NISTはNVDへの詳細情報付与を以下の条件を満たすCVEに絞る方針とした:
- CISAのKEVカタログに掲載されているCVE
- 連邦政府内で使用されているソフトウェアのCVE
- 大統領令14028(Executive Order 14028)が定める重要ソフトウェアのCVE
上記に該当しないCVEは引き続きNVDへ登録されるが「最低優先度(lowest priority)」として扱われ、即時のメタデータ付与は行われない。また、2026年3月1日以前のNVD公開日を持つバックログCVEはすべて「Not Scheduled」カテゴリへ移動される。
この変更により、実際に悪用されているか、あるいは政府・重要インフラに影響するCVEへリソースが集中される見通しだ。
まとめ
- CISAは2026年4月13〜16日の間にKEVカタログへ10件を追加し、FCEB機関は4月27日までの対応が必要
- Apache ActiveMQ CVE-2026-34197(CVSS 8.8)は野生での悪用が確認されており、6.2.3または5.19.4へのアップグレードが推奨される
- NISTはNVDの優先付けモデルを変更し、KEVカタログ掲載CVEや政府・重要インフラ関連CVEへ評価リソースを集中させる方針へ転換した(2026年4月15日〜)
参考
- CISA Known Exploited Vulnerabilities Catalog
- CISA Adds Seven Known Exploited Vulnerabilities to Catalog (2026-04-13)
- CISA Adds Two Known Exploited Vulnerabilities to Catalog (2026-04-14)
- CISA Adds One Known Exploited Vulnerability to Catalog (2026-04-16)
- NIST Updates NVD Operations to Address Record CVE Growth
- CVE-2026-34197 Detail - NVD
- Apache ActiveMQ Security Advisories
- CVE-2026-34197 ActiveMQ RCE via Jolokia API - Horizon3.ai
タグ