### 活発に悪用されている脆弱性 **CISA**は、修正の緊急性を強調するため、既知の悪用済み脆弱性（KEV）カタログに2つの脆弱性を追加しました。 * **CVE-2025-66376** (CVSSスコア: 7.2): **ZCS**のクラシックUIにおける格納型クロスサイトスクリプティング（XSS）脆弱性。攻撃者は、HTMLメール内でカスケードスタイルシート（CSS）の@importディレクティブを使用することで、この脆弱性を悪用できます。この問題は、2025年11月にリリースされた**Zimbra**バージョン10.0.18および10.1.13で修正されました。 * **CVE-2026-20963** (CVSSスコア: 8.8): **Microsoft Office SharePoint**における信頼されていないデータのデシリアライゼーション脆弱性。この脆弱性により、不正な攻撃者は任意のコードをリモートで実行できます。**Microsoft**は、2026年1月にこの脆弱性に対するパッチをリリースしました。 ### Operation GhostMail: Zimbra XSSの悪用 **CVE-2025-66376**がKEVカタログに追加されたのは、**Seqrite Labs**による報告に続くものです。同社は、「Operation GhostMail」と名付けられたキャンペーンを明らかにしました。このキャンペーンは、ロシア政府支援の脅威アクターによるものと疑われており、ウクライナ国家水路局（hydro.gov[.]ua）を標的としていました。 **Seqrite Labs**は、攻撃者がソーシャルエンジニアリングされたインターンシップの問い合わせを利用して、メール本文に直接埋め込まれた難読化されたJavaScriptペイロードを配信した方法を詳述しています。被害者が脆弱な**Zimbra**ウェブメールセッションでメールを開くと、ペイロードが**CVE-2025-66376**を悪用します。 「フィッシングメールには、悪意のある添付ファイル、疑わしいリンク、マクロは一切含まれていません。攻撃チェーン全体は、単一のメールのHTML本文内に存在し、悪意のある添付ファイルはありません。」 このJavaScriptマルウェアは、認証情報、セッショントークン、バックアップの2要素認証（2FA）リカバリコード、ブラウザに保存されたパスワード、および過去90日間の受信トレイの内容を含む機密情報を収集するように設計されています。収集されたデータは、DNSとHTTPSの両方を通じて外部に送信されます。 このキャンペーンは、ロシア政府支援アクターによる過去の攻撃、例えばOperation RoundPressなどと一致しており、ウェブメールソフトウェアのXSS脆弱性を悪用してウクライナの組織を侵害していました。 **Seqrite Labs**は、「Operation GhostMailは、攻撃者が従来のマルウェアバイナリではなく、ブラウザ常駐型スティラーに完全に依存する、ウェブメール中心の侵入の継続的な進化を示しています。難読化されたJavaScriptをHTMLメールに直接埋め込み、**Zimbra**ウェブメールのXSS条件を悪用することで、脅威アクターはファイルドロップ、マクロの悪用、またはエンドポイントベースの検出をトリガーすることなく、完全なセッション傍受を達成します。」と強調しています。 ### SharePoint脆弱性の悪用 現在、**CVE-2026-20963**の悪用に関する公開報告は、脅威アクターの特定や攻撃の範囲を含め、一切ありません。しかし、活発な悪用が行われているため、**CISA**は連邦民間執行機関（FCEB）に対し、**CVE-2025-66376**については2026年4月1日まで、**CVE-2026-20963**については2026年3月23日までに、必要なパッチを適用することを強く推奨しています。 ### InterlockランサムウェアとCiscoゼロデイ この開示は、**Amazon**からのニュースとも一致しており、**Interlock**ランサムウェアに関連する脅威アクターが、**Cisco**のファイアウォール管理ソフトウェア（**CVE-2026-20131**、CVSSスコア: 10.0）における深刻なセキュリティ脆弱性を、公開前の2026年1月26日から悪用していたことが明らかになりました。 **Amazon**によると、「**Interlock**は、オペレーションの中断が支払いに対する最大の圧力を生み出す特定のセクターを標的としてきました」とし、教育、エンジニアリング、建築、建設、製造、産業、ヘルスケア、政府機関などが含まれます。 このインシデントは、**Cisco**、**Fortinet**、**Ivanti**などの様々なベンダーのエッジネットワークデバイスを標的として、ターゲットネットワークへの初期アクセスを得ようとする脅威アクターの継続的な傾向を浮き彫りにしています。**CVE-2026-20131**がゼロデイエクスプロイトとして武器化されていることは、攻撃者が以前は知られていなかった脆弱性を発見するために多大な投資を行っていることを示しており、これにより権限昇格が可能になります。 ### CISA、Ciscoの脆弱性をKEVカタログに追加 2026年3月19日、**CISA**は**CVE-2026-20131**を既知の悪用済み脆弱性（KEV）カタログに追加し、FCEB機関に対し2026年3月22日までにシステムを最新バージョンに更新することを義務付けました。 さらに、先月末、**CISA**は緊急指令を発行し、FCEB機関に対し、現在活発に悪用されている**Cisco** Catalyst SD-WANシステム（**CVE-2026-20127**、**CVE-2022-20775**、**CVE-2026-20122**、および**CVE-2026-20128**）における最近開示された脆弱性への対応を求めました。機関は、2026年3月23日までに「すべてのsyslogロギング」およびその他の関連するクラウドログを報告する必要がありました。 ### VulnCheckによるCisco SD-WAN脆弱性の分析 先週**VulnCheck**が公開したレポートによると、Catalyst SD-WANにおける別の脆弱性である**CVE-2026-20133**は、「防御者が認識しているよりも高いリスク」をもたらし、攻撃者によって標的とされる可能性が高いとされています。 **VulnCheck**は、この脆弱性によって付与されるファイルシステムへのアクセスが悪用され、「vmanage-admin」ユーザーの秘密鍵を抽出することで、SD-WANデバイスの設定と管理に使用されるNetwork Configuration Protocol（NETCONF）を侵害できると述べています。さらに、この脆弱性はconfd_ipc_secretを漏洩させるために武器化される可能性があり、これによりローカルユーザーは制約のないrootシェルに権限昇格できるようになります。 **VulnCheck**の研究者であるCaitlin CondonとJosh Shomoは、「初期の悪用と業界の注目が新たな脅威に向けられることは、潜在的な悪用経路と脆弱性のニュアンスを理解する上で役立ちますが、テストされていない研究成果や特定の攻撃経路への過度に狭い焦点に依存すると、組織を誤った方向に導く可能性もあります。」と警告しています。