サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、活発な悪用が行われている証拠に基づき、[既知の悪用済み脆弱性（KEV）カタログ](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)に2つの新しい脆弱性を追加しました。 * [**CVE-2009-0238**](https://www.cve.org/CVERecord?id=CVE-2009-0238) **Microsoft Office** リモートコード実行の脆弱性 * [**CVE-2026-32201**](https://www.cve.org/CVERecord?id=CVE-2026-32201) **Microsoft SharePoint Server** 不適切な入力検証の脆弱性 ### 連邦機関へのリスク これらの種類の脆弱性は、悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦機関に重大なリスクをもたらします。 ### 運用指令（BOD）22-01 [運用指令（BOD）22-01：既知の悪用済み脆弱性による重大なリスクの低減](https://www.cisa.gov/binding-operational-directive-22-01)は、KEVカタログを、連邦機関に重大なリスクをもたらす既知の共通脆弱性識別子（CVE）の生きたリストとして確立しました。BOD 22-01は、連邦民間執行機関（FCEB）に対し、期限までに特定された脆弱性を修正し、FCEBネットワークを活発な脅威から保護することを義務付けています。詳細については、[BOD 22-01ファクトシート](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf)を参照してください。 ### すべての組織への推奨事項 BOD 22-01はFCEB機関にのみ適用されますが、CISAはすべての組織に対し、脆弱性管理の実践の一環として、[KEVカタログの脆弱性](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)をタイムリーに修正することを優先することにより、サイバー攻撃への露出を減らすことを強く推奨します。CISAは、[指定された基準](https://www.cisa.gov/known-exploited-vulnerabilities)を満たす脆弱性をカタログに追加し続けます。