米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2025年6月2日、「既知の悪用された脆弱性(KEV: Known Exploited Vulnerabilities)」カタログに新たに5件の脆弱性を追加したことを発表しました。今回の追加はいずれも、実際に悪用された事例に基づいており、企業や自治体の情報システム部門にとって早急な対応が求められる内容です。
目次
追加された脆弱性一覧
CVE-2021-32030(ASUS Lyra Mini / GT-AC2900:不適切な認証)
ASUS製ルーターに存在する認証の不備により、攻撃者が管理画面へ不正にアクセスできる脆弱性です。対象デバイスはすでにサポート終了(EoL)となっている可能性が高く、利用停止が推奨されています。
-
関連CWE: CWE-287(不適切な認証)
-
対応策: 使用中止または代替製品への移行
CVE-2023-39780(ASUS RT-AX55:OSコマンドインジェクション)
ASUS RT-AX55ルーターに存在する脆弱性で、認証済みの攻撃者が任意のコマンドを実行可能です。リモートからの操作で制御を奪われる恐れがあるため、即時のファームウェア更新が必須です。
-
関連CWE: CWE-78(OSコマンドインジェクション)
CVE-2024-56145(Craft CMS:コードインジェクション)
Craft CMSの設定次第では、リモートコード実行が可能となる脆弱性です。特にregister_argc_argvが有効なPHP構成で脅威が高まるため、サーバー設定の見直しも含めた対応が必要です。
-
関連CWE: CWE-94(コードインジェクション)
CVE-2025-35939(Craft CMS:想定外のパラメータ制御)
サーバー上の特定ファイルに任意の値を注入される可能性があり、攻撃者がPHPコードなどを仕込むことでシステム乗っ取りに繋がるリスクがあります。他の脆弱性(CVE-2024-58136等)と連携しての複合攻撃も可能です。
-
関連CWE: CWE-472(不変と想定されたパラメータの外部制御)
CVE-2025-3935(ConnectWise ScreenConnect:不適切な認証)
人気のリモートサポートツール「ScreenConnect」にて、認証の不備によりViewStateコードインジェクションが発生し、場合によってはリモートコード実行に至る危険性があります。企業のIT運用部門では、リモートサポートソフトのバージョン確認と鍵管理の強化が必要です。
-
関連CWE: CWE-287(不適切な認証)
CISAの方針と組織への呼びかけ
これらの脆弱性はすでに悪用の証拠があり、攻撃者にとっての主要な侵入経路になり得ます。
今回のリストはBOD対象外の企業や自治体にも重要な意味を持ちます。CISAは「全組織が、KEVカタログを用いた優先的な脆弱性管理を推進するべき」と強く推奨しています。
情報システム部門が取るべき対応
情報システム部門では、以下の対応を早急に進めるべきです。
-
対象製品の脆弱性スキャンと影響調査
-
ベンダー提供の修正パッチ適用または代替策導入
-
EoL製品の速やかな廃止計画
-
CMSやネットワーク機器の外部公開設定の確認
まとめ
今回CISAが追加した5件の脆弱性は、いずれも深刻なリモートコード実行や認証回避に繋がる危険性を持っています。特に中小規模の事業者ではCraft CMSやASUSルーターを利用している例も多く、可視化されていないリスクの温床になりがちですので、対応する事をお勧めします。
関連記事
NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
アップルップルが提供するa-blog cmsに重大な脆弱性
アイ・オー・データ製ルーターのUD-LT1とUD-LT1/EXで3つの重大な脆弱性(CVE-2024-45841,CVE-2024-47133,CVE-2024-52564)
ASUS DriverHubに深刻な脆弱性、ウェブサイト経由で管理者権限のコマンド実行が可能(CVE-2025-3462、CVE-2025-3463)
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
バックドアとは?事例や概要を解説
SonicWall SMA100シリーズに重大な脆弱性、複合的なサイバー攻撃のリスクに警戒-JPCERT/CC
MoxaのIIoTゲートウェイ「AIG-301シリーズ」の特定バージョンで既知の脆弱性 azure-uamqp に影響すると発表
