概要
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年3月20日、実際の攻撃への悪用が確認されたセキュリティ脆弱性5件を「既知悪用脆弱性(KEV)カタログ」に追加した。対象はApple WebKit・Appleカーネル(各1件・2件)、Craft CMS、Laravel Livewireで、連邦政府機関に対して2026年4月3日までのパッチ適用を義務付けている。特にCraft CMS(CVSSスコア10.0)とLaravel Livewire(CVSSスコア9.8)はCritical評価であり、国家支援型ハッカーグループや犯罪グループによる悪用が確認されている。
脆弱性の詳細
今回追加された5件の脆弱性の内訳は以下のとおりだ。
- CVE-2025-31277(Apple WebKit / CVSS 8.8): 悪意ある Webコンテンツを処理する際のメモリ破損により任意コードが実行される可能性がある。
- CVE-2025-43510(Appleカーネル / CVSS 7.8): 共有プロセスメモリへの予期しない変更を可能にするメモリ破損。
- CVE-2025-43520(Appleカーネル / CVSS 8.8): システム停止またはカーネルメモリへの書き込みを可能にするメモリ破損。
- CVE-2025-32432(Craft CMS / CVSS 10.0): コードインジェクションによる任意コード実行。2025年2月からゼロデイとして積極的に悪用されていた。
- CVE-2025-54068(Laravel Livewire / CVSS 9.8): 認証不要でリモートからコマンドを実行できるコードインジェクション脆弱性。
Appleの各脆弱性は2025年7月・12月にパッチが提供されており、Craft CMSは2025年4月、Laravel Livewireは2025年7月に修正済みだ。
悪用主体と攻撃キャンペーン
各脆弱性の悪用には異なる脅威アクターが関与している。AppleのWebKit・カーネル脆弱性はiOSエクスプロイトキット「DarkSword」と関連付けられており、GHOSTBLADE・GHOSTKNIFE・GHOSTSABERといったマルウェアファミリーの展開に利用され、主な目的はデータ窃取とされる。
Craft CMSのCVE-2025-32432は「Mimo」と呼ばれる侵害グループが悪用しており、暗号通貨マイニングや不正プロキシの展開に利用されている。Laravel LivewireのCVE-2025-54068はイランの国家支援型ハッカーグループ「MuddyWater」が中東の外交機関や重要インフラを標的にしたキャンペーンで使用している。
対応と推奨事項
CISAのKEVカタログへの追加は、連邦政府機関(FCEB機関)に対してパッチ適用を法的に義務付けるものだが、民間企業や組織に対しても速やかなアップデートが強く推奨される。CVSSスコアが9.8・10.0と最高水準に近いCraft CMSおよびLaravel Livewireの脆弱性は特に優先度が高く、これらのフレームワークを使用している組織は直ちに最新バージョンへの更新を検討すべきだ。国家支援グループによる悪用が継続する可能性があるため、パッチ適用後もネットワーク監視や侵害痕跡(IoC)の確認を行うことが重要だ。