米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から公開されている「KEVカタログ(Known Exploited Vulnerabilities)」は、実際に攻撃に悪用された脆弱性の権威あるリストとして、組織のセキュリティ対策の優先順位付けに不可欠なツールとなっています。本記事では、KEVカタログに2026年1月1日~3月31日に登録・公開された脆弱性の傾向を整理・分析します。
本記事は2025年1Q:第1四半期~4Q:第4四半期の分析レポートに続く記事となります。過去記事もぜひあわせてご覧ください。
「2025年1Q KEVカタログ掲載CVEの統計と分析」
はじめに
2025年4Qを対象とした前回記事 では、KEVカタログへ追加された62件のCVEを分析し、「実際に悪用された脆弱性」をどのように運用へ落とし込むべきかを整理しました。本稿はその続編として、2026年1月〜3月にKEVへ追加された71件を主対象に分析します。さらに、4月中旬までに追加された11件については速報として別枠で扱います。
2026年1Qの統計データ概要
2026年1Qに新規登録された脆弱性は以下の通りです。
| 月 | 件数 |
|---|---|
| 1月 | 17 |
| 2月 | 28 |
| 3月 | 26 |
2026年1QにKEVへ追加された件数は71件でした。前回4Qの62件から増加しています。2〜3月にかけて増加傾向がみられ、2025年4Qでみられた「10月集中型」とは異なる波形を示しています。前回のような単月集中型ではなく、継続的に悪用済み脆弱性が追加された四半期だったと言えます。
主要ベンダー別の内訳
| ベンダー | 件数 |
|---|---|
| Microsoft | 12 |
| Apple | 7 |
| Cisco | 4 |
| Synacor | 3 |
| SolarWinds | 3 |
| 3 | |
| SmarterTools | 3 |
ベンダー別では、Microsoftが継続して最多となった一方、Apple関連脆弱性が大きく増加した点が今期の特徴です。また、SmarterMailやSolarWinds Web Help Deskなど、管理系・運用系製品の継続的な掲載も目立ちました。これは、攻撃者が単なるユーザー端末だけでなく、「管理面」や「運用基盤」そのものを重点的に狙っていることを示しています。
脆弱性タイプ(CWE)の分布
| CWE | 件数 |
|---|---|
| CWE-94(コードインジェクション) | 7 |
| CWE-502(不適切なデータ逆シリアル化) | 5 |
| CWE-78(OSコマンドインジェクション) | 4 |
| CWE-288(認証回避) | 4 |
| CWE-918(サーバサイドリクエストフォージェリ(SSRF)) | 4 |
今期は特に、「認証境界を越えて管理権限を奪う」タイプの脆弱性が増加しています。特にCWE-94やCWE-502は、外部公開された管理系製品と組み合わさることで、一気に侵害の起点になり得ます。
攻撃の自動化容易性(Automatable)
自動化攻撃が容易である「Yes」と分類された脆弱性は30件となっていました。つまり、多くの脆弱性が「自動化された攻撃」に利用されやすい状況にあると言えます。攻撃者側のスキャン・悪用速度が上がっている現在、公開管理面を持つ資産では特に短期間で侵害へ至るリスクがあります。
技術的影響範囲(Technical Impact)
「Total」(=脆弱性を突かれるとシステムを完全制御されてしまう深刻な影響を持つもの) が62件、partialは9件であり、大部分が侵害後に広範な影響を与えるタイプでした。
CVSSスコア分布
| 区分 | 件数 |
|---|---|
| Critical | 30 |
| High | 34 |
| Medium | 7 |
CVSS帯では、9.0以上の「Critical(緊急)」帯が30件、7.0~8.9の「High(高)」帯が34件と、高危険度が大半を占めました。
CISAはKEVカタログを、「実際に悪用された脆弱性の権威ある一覧」と位置づけています。つまり、KEVに掲載された時点で、すでに攻撃者による実利用が確認されているということです。そのため、CVSSだけではなく、インターネット露出、ランサムウェア悪用確認、対応期限(dueDate)、自動化容易性(Automatable)などを踏まえた実務的な優先度付けが求められます。
CVSSスコアの基本的な考え方と、企業の脆弱性対応判断にどう活かすべきか、以下の記事で整理しています。ぜひこちらもあわせてご覧ください。
「CVSSスコアの正しい使い方 ―脆弱性対応の判断にどう活かすべきか―」
実際にランサムウェア攻撃に悪用された脆弱性
実際にランサムウェアに悪用されたと判明しているのは前回3件から今回4件と増加しており、「公開後すぐに武器化される」傾向がさらに強まっています。
前回四半期との比較
| 指標 | 2025年4Q | 2026年1Q |
|---|---|---|
| KEV追加件数 | 62 | 71 |
| Critical | 24 | 30 |
| ランサムウェア悪用確認 | 3 | 4 |
| 2024年以前のCVE | 継続多数 | 17 |
単純な件数増だけでなく、「古い脆弱性が今も悪用され続けている」ことが重要です。2024年以前のCVEが17件含まれており、未更新資産やレガシー運用が依然として攻撃対象であり続けている現実が見えてきます。
また、2025年4Qではメモリ破壊や権限管理不備が目立ったのに対し、2026年1Qでは境界突破型の脆弱性が増加しています。これは、攻撃者が単純な破壊活動やDoS攻撃ではなく、「運用基盤そのものを掌握する」方向へ重点を移していることを示唆しています。
注目の個別脆弱性ケーススタディ
Cisco ― CVE-2026-20131
CiscoのCVE-2026-20131は、今期を象徴する脆弱性の一つです。無認証・ネットワーク経由・root権限でのリモートコード実行が可能であり、ランサムウェア悪用も確認されました。さらに、KEV追加から対応期限までが極めて短く、緊急対応が必要なケースでした。*1
この事例が示しているのは、「インターネット公開された管理面は、最優先で閉じるべき」という点です。VPN、ファイアウォール、管理コンソールなどの境界機器は、一度侵害されると内部ネットワーク全体への踏み台になります。
BeyondTrust ― CVE-2026-1731
BeyondTrustのCVE-2026-1731は、特権アクセス管理やRemote Support(遠隔サポート)基盤が侵害された場合の危険性を示した事例です。セルフホストかつインターネット向けな構成では、侵害後に横展開が容易になり、被害範囲が急速に拡大します。*2
特に、管理者権限を扱う製品は「通常業務システムより優先して守るべき対象」です。業務停止だけでなく、認証情報窃取や内部侵入の起点になる可能性が高いためです。
SmarterMail
SmarterMail関連では、複数のCVEが短期間で継続的に追加されました。重要なのは、「一度アップデートしたから安全」という状況ではなかった点です。複数ビルドに対して連続的にcritical fixが提供されており、更新追随そのものが運用課題になっていました。
実際にSmarterTools自身も、未更新VMが侵害起点だったことを認めています。*3これは、「資産を把握していても、更新追随に失敗すると侵害される」という教訓を示しています。
Trivy
Trivyのケースは、開発者やSRE (Site Reliability Engineering)にとって重要です。この事例では、GitHub Actionsタグ改ざんやsetup-trivy置換を通じて、供給網経由の侵害が発生しました*4。つまり、防御ツールそのものが攻撃経路へ変化したということです。
このケースは、「脆弱性管理はOSやミドルウェアだけでは終わらない」ことを示しています。GitHub ActionsのSHA pinning、SBOM管理、シークレットローテーションなど、CI/CD全体の完全性確認が重要になります。
影響評価とリスク優先度付け
KEV対応では、「CVSSが高いから即P1」といった単純な判断は適切ではありません。実務では、実際に自社資産が存在するか、インターネットへ公開されているか、ランサムウェア悪用が確認されているか、対応期限が短いか、といった条件を重ねて優先度を決める必要があります。今回の記事では、実務運用を想定して、以下の4段階で整理します。
| 優先度 | 条件 | 対応目安 |
|---|---|---|
| P1(変更管理より封じ込めを優先するレベル) | インターネット公開 / ランサムウェア悪用確認 / 対応期限≤3日 | 即日〜72時間 |
| P2(週内対応を前提) | 自動化攻撃が容易 / 技術的影響範囲(Technical Impact)「Total」 | 1週間以内 |
| P3(計画停止枠) | 露出限定・代替統制あり | 対応期限まで |
| P4(継続監視対象) | 未利用・廃止済み | 継続監視 |
KEV対応では、CVSSスコアだけでなく、実際の悪用状況やインターネット露出、業務影響を踏まえた優先順位付けが重要になります。こうした「何を先に直すべきか」を判断する考え方については、SSVCを用いた脆弱性管理と優先順位付けの解説記事でも詳しく紹介しています。
「脆弱性診断は受けたけれど ― SSVCで考える「脆弱性管理」と優先順位付け」
まとめ
2026年1QのKEV分析では、「件数増加」そのものよりも、「どの資産が継続的に狙われているか」が明確になりました。特に、境界機器、管理基盤、メール基盤、CI/CDといった“運用の中枢”が攻撃対象になっています。共通しているのは、「攻撃者は管理面を狙う」という点です。
KEVは、もはや単なる高CVSS一覧ではありません。「実際に悪用された脆弱性を、限られた時間でどう優先対応するか」を判断するための、実務上の最重要リストになっています。
【参考情報】
- “Reducing the Significant Risk of Known Exploited Vulnerabilities”,CISA,https://www.cisa.gov/known-exploited-vulnerabilities
- ”Stakeholder-Specific Vulnerability Categorization (SSVC)”,CISA,https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc
- “Unlocking Vulnrichment: Enriching CVE Data”,CISA,https://www.cisa.gov/news-events/news/unlocking-vulnrichment-enriching-cve-data
- ”BOD 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities”,CISA,https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities
BBSecでは
アタックサーフェス調査サービス
インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。
サイバーインシデント緊急対応
セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。
ウェビナー開催のお知らせ
最新情報はこちら
Security NEWS TOPに戻る
バックナンバー TOPに戻る
