サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、実際に悪用されている証拠に基づき、既知の悪用済み脆弱性（KEV）カタログに新たに7件の脆弱性を追加しました。 これらの脆弱性は、悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、組織に重大なリスクをもたらします。 ### 追加された新しい脆弱性： * **CVE-2008-4250**: Microsoft Windows バッファオーバーフローの脆弱性 * **CVE-2009-1537**: Microsoft DirectX NULLバイト上書きの脆弱性 * **CVE-2009-3459**: Adobe Acrobat および Reader ヒープベースバッファオーバーフローの脆弱性 * **CVE-2010-0249**: Microsoft Internet Explorer Use-After-Free の脆弱性 * **CVE-2010-0806**: Microsoft Internet Explorer Use-After-Free の脆弱性 * **CVE-2026-41091**: Microsoft Defender 権限昇格の脆弱性 * **CVE-2026-45498**: Microsoft Defender サービス拒否の脆弱性 ### BOD 22-01と対策 バインディング運用指令（BOD）22-01：既知の悪用済み脆弱性による重大なリスクの低減は、KEVカタログを重大なリスクを伴う既知の共通脆弱性識別子（CVE）の生きたリストとして確立しました。BOD 22-01は、連邦民間執行機関（FCEB）に対し、特定された脆弱性を期日までに修正し、FCEBネットワークを実際の脅威から保護することを義務付けています。 詳細については、[BOD 22-01 ファクトシート](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf)をご覧ください。 ### 推奨事項 BOD 22-01はFCEB機関にのみ適用されますが、CISAはすべての組織に対し、脆弱性管理の実践の一環としてKEVカタログの脆弱性をタイムリーに修正することを優先することで、サイバー攻撃への露出を減らすことを強く推奨しています。CISAは、指定された基準を満たす脆弱性をカタログに追加し続けます。