**Drupal**は、政府機関、教育機関、メディア企業など、多くの大規模組織で利用されている人気のCMSであり、広範なデータ構造やマルチサイトインストールの管理に使用されています。 ### 脆弱性の詳細 **CVE-2026-9082**として追跡されているこの脆弱性は、**Google/Mandiant**の研究者Michael Maturi氏によって**Drupal**のデータベース抽象化API内で発見されました。この脆弱性により、認証されていない攻撃者は、特別に細工されたリクエストを通じて**PostgreSQL**で稼働するサイトに対して任意のSQLインジェクションをトリガーできます。成功した場合、情報漏洩、権限昇格、リモートコード実行につながる可能性があります。 **Drupal**のセキュリティチームは、この脆弱性を「非常に深刻」と分類し、野外での悪用試行を検出した後、パッチをリリースしました。 ### 野外での悪用 **Imperva**によると、脆弱性が公開されて以来、65カ国にわたる約6,000の個々のサイトを標的とした15,000件以上の攻撃試行が観測されています。これらの攻撃は、主にゲームおよび金融サービスサイトを標的としています。 **Shadowserver**は現在、オンラインで公開されている未パッチの**Drupal**インストールを約670件追跡しており、その大半は北米とヨーロッパに位置しています。  *未パッチのDrupalインスタンス（Shadowserver）* ### CISAの対応 金曜日、**CISA**は、この脆弱性を既知の悪用済み脆弱性（KEV）カタログに追加し、連邦民間執行機関（FCEB）に対し、指示（BOD）22-01に基づき、水曜日までにシステムへのパッチ適用を義務付けました。 BOD 22-01は米国の連邦機関に特化していますが、**CISA**は、民間セクターを含むすべての組織に対し、システムを保護するために**CVE-2026-9082**のパッチをできるだけ早く適用することを強く推奨しています。 **CISA**は、過去数年間で野外で悪用された5つの**Drupal**脆弱性を指摘しており、そのうち2つはランサムウェア攻撃に利用されています。 ## [検証のギャップ：自動ペネトレーションテストは1つの質問に答える。あなたには6つ必要。](https://hubs.li/Q048zztN0) 自動ペネトレーションテストツールは大きな価値を提供しますが、それらは1つの質問に答えるために構築されました。それは「攻撃者はネットワーク内を移動できるか？」という質問です。それらは、あなたの制御が脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)