概要
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、広範に利用されているエンタープライズソフトウェアおよび開発ツールに影響を及ぼす4つの重大なセキュリティ脆弱性を、既知の悪用されている脆弱性(KEV)カタログに新たに追加しました。これらの脆弱性はすべて2026年1月22日に追加され、連邦機関および重要インフラ事業者に対し、2026年2月12日までにパッチまたは緩和策を適用することが義務付けられています。
今回の追加は、サプライチェーンの侵害からインフラオーケストレーションプラットフォームに至るまで、複数の攻撃ベクトルにおける活発な悪用パターンを反映しています。影響を受ける製品を使用している組織は、不正アクセス、データ流出、およびネットワーク内での潜在的な横移動を防ぐために、速やかな対応が最優先されます。
追加された脆弱性の詳細
CISAによってKEVカタログに追加された4つの脆弱性は以下の通りです。
- Prettier eslint-config-prettier
- CVE ID: CVE-2025-54313
- 脆弱性タイプ: 埋め込まれた悪意のあるコード (CWE-506)
- 深刻度: 重大(Critical)
- Vite Vitejs
- CVE ID: CVE-2025-31125
- 脆弱性タイプ: 不適切なアクセス制御 (CWE-200, CWE-284)
- 深刻度: 重大(Critical)
- Versa Concerto SD-WAN
- CVE ID: CVE-2025-34026
- 脆弱性タイプ: 不適切な認証 (CWE-288)
- 深刻度: 重大(Critical)
- Synacor Zimbra Collaboration Suite
- CVE ID: CVE-2025-68645
- 脆弱性タイプ: PHPリモートファイルインクルージョン (CWE-98)
- 深刻度: 重大(Critical)
組織に求められる対応
組織は、影響を受けるソフトウェアバージョンを実行しているシステムを直ちに監査する必要があります。
- Prettier eslint-config-prettierおよびVite Vitejsを使用している開発者は、パッケージの依存関係を確認し、パッチが適用されたバージョンに戻し、不審なアクティビティがないかCI/CDログを監査する必要があります。
- Versa Concertoの導入環境では、特に管理インターフェースを公開しているシステムに対して、認証情報のローテーションとネットワークセグメンテーション分析が求められます。
- Zimbraの管理者は、ベンダー提供のセキュリティアップデートを適用し、脆弱なエンドポイントへのアクセスを制限するためにWebアプリケーションファイアウォール(WAF)ルールを実装する必要があります。
CISAからの勧告
CISAは、連邦機関に対してクラウドサービスを利用する際のBinding Operational Directive 22-01への準拠を強調しています。また、組織全体に対し、開発、ステージング、本番環境にわたるパッチ展開の調整と、以下の悪用の兆候がないか監視することを推奨しています。
- 予期しないプロセス実行
- 不正なファイルアクセス
- 異常な認証パターン
今回のKEVカタログの拡張は、開発ツールの侵害とインフラの脆弱性が収束している状況を浮き彫りにしています。これにより、ソフトウェアサプライチェーン全体における調整されたインシデント対応とプロアクティブなパッチ管理の必要性が強く示されています。