サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、実際に悪用されている証拠に基づき、悪用が確認された脆弱性（KEV）カタログを3件の新規エントリで更新しました。この措置は、潜在的なサイバー攻撃を軽減するために、組織がこれらの脆弱性を優先的に修正することの重要性を強調するものです。 ### 追加された新規脆弱性 新たに追加された脆弱性は以下の通りです。 * **CVE-2026-8398**: Daemon Tools Lite 埋め込み悪意のあるコードの脆弱性 * **CVE-2026-45321**: TanStack 不明な脆弱性 * **CVE-2026-48027**: Nx Console 埋め込み悪意のあるコードの脆弱性 これらの脆弱性は、悪意のある攻撃者にとって重大な攻撃ベクトルとなり、影響を受けるシステムやネットワークに深刻な結果をもたらす可能性があります。 ### KEVカタログの重要性 KEVカタログは、実際に悪用されている脆弱性を特定するための重要なリソースとして機能します。「悪用が確認された脆弱性による重大なリスクの軽減」（BOD 22-01）という運用指示により、連邦民間執行機関（FCEB）は、指定された期日までにKEVカタログに記載された脆弱性を修正することが義務付けられています。この指示は、FCEBネットワークを継続的な脅威から保護することを目的としています。 詳細については、[BOD 22-01 ファクトシート](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf)を参照してください。 ### 全ての組織への推奨事項 BOD 22-01はFCEB機関に特に関連するものですが、CISAは全ての組織に対し、KEVカタログに記載された脆弱性をタイムリーに修正することを優先することで、脆弱性管理を積極的に行うことを強く推奨しています。これにより、組織は潜在的なサイバー攻撃への暴露を大幅に減らすことができます。 CISAは引き続き脅威状況を積極的に監視し、[指定された基準](https://www.cisa.gov/known-exploited-vulnerabilities)を満たした脆弱性をKEVカタログに追加していきます。KEVカタログの定期的なレビューと対応は、堅牢なサイバーセキュリティ体制の重要な要素です。