### 新規追加された脆弱性 KEVカタログに最近追加された脆弱性は以下の通りです。 * **CVE-2024-1708** (CVSSスコア: 8.4): ConnectWise ScreenConnectにおけるパス・トラバーサル脆弱性。悪用に成功すると、攻撃者はリモートコード実行、機密データや重要システムの侵害が可能になる可能性があります。2024年2月からパッチが提供されています。 * **CVE-2026-32202** (CVSSスコア: 4.3): Microsoft Windows Shellにおける保護メカニズムの不具合脆弱性。この欠陥により、不正な攻撃者がネットワーク経由でスプーフィング攻撃を実行できる可能性があります。Microsoftは2026年4月にこれを修正しました。 ### Windows脆弱性の積極的な悪用 **CVE-2026-32202**がKEVカタログに追加されたのは、Microsoftが積極的な悪用を認めるアドバイザリを更新した後です。Microsoftはこれらの攻撃の詳細は明らかにしていませんが、Akamaiの調査によると、この脆弱性はCVE-2026-21510の不完全なパッチに関連している可能性が示唆されています。この以前の脆弱性は、2025年12月に始まったウクライナおよびEU諸国を標的とした攻撃において、ロシアのハッキンググループAPT28によって、CVE-2026-21513と共にゼロデイとして悪用されていました。 ### ConnectWiseの欠陥の悪用 **CVE-2024-1708**の悪用は、重大な認証バイパス脆弱性である**CVE-2024-1709**（CVSSスコア: 10.0）と組み合わせて観測されています。複数の脅威アクターがこれらの脆弱性を連鎖させています。Microsoftは、これらの欠陥の悪用を、Medusaランサムウェアを展開する攻撃における、中国を拠点とする脅威アクターStorm-1175によるものと特定しています。CISAは、2024年2月22日に**CVE-2024-1709**をKEVカタログに追加しました。 ### 修正期限 連邦民間執行機関（FCEB）は、ネットワークを保護するために、2026年5月12日までにこれらの脆弱性に対する必要なパッチを適用することが義務付けられています。すべての組織は、潜在的なリスクを軽減するために、できるだけ早くこれらのパッチを適用することを強く推奨します。