概要
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2026年4月24日(金)、リモートサポートツール・デジタルサイネージサーバー・ルーターなど複数の製品に影響する4件の脆弱性を既知悪用脆弱性(KEV: Known Exploited Vulnerabilities)カタログに追加した。連邦民間行政府機関(FCEB)はBOD 22-01に基づき、2026年5月8日までに修正対応またはシステムの使用停止を義務付けられている。CISAは民間組織に対しても早急なパッチ適用を強く推奨している。
4件の脆弱性の詳細
今回追加された脆弱性は以下の4件で、いずれも実際の攻撃への悪用が確認されている。
SimpleHelp(CVE-2024-57726 / CVE-2024-57728)
- CVE-2024-57726(CVSS 9.9):低権限の技術者アカウントが、本来の権限を超えた過度な権限を持つAPIキーを作成できる特権昇格の脆弱性。深刻度は最高クラスに近い。
- CVE-2024-57728(CVSS 7.2):パストラバーサル(Zip Slip)の脆弱性。細工されたZipアーカイブを通じて任意ファイルの書き込みが可能になる。いずれもランサムウェア攻撃の前段階として悪用されているとみられる。
Samsung MagicINFO 9 Server(CVE-2024-7399)
- CVSS 8.8のパストラバーサル脆弱性で、攻撃者がシステム権限で任意ファイルを書き込み可能となる。商業施設や公共空間で広く使われているデジタルサイネージ管理サーバーへの攻撃に利用されており、Miraiボットネット亜種の配備が確認されている。
D-Link DIR-823X(CVE-2025-29635)
- CVSS 7.5のコマンドインジェクション脆弱性。認証済みの攻撃者がPOSTリクエストを通じてルーター上で任意コマンドを実行できる。「tuxnokill」と呼ばれるMirai系ボットネット亜種による攻撃への利用が報告されている。DIR-823Xはすでにサポート終了製品であり、CISAは修正対応が困難な場合は使用を中止するよう求めている。
背景と推奨対応
KEVカタログへの追加は、脆弱性が単に理論的なリスクに留まらず、現実の脅威アクターによって実際に悪用されていることを公式に認定するものだ。特にSimpleHelpの脆弱性は2025年初頭から複数のセキュリティ研究者によって報告されており、ランサムウェアグループによる初期侵入経路として積極的に使用されている点が懸念される。Samsung MagicINFOおよびD-Linkのルーターに関しては、IoTデバイスを標的としたボットネット攻撃の広がりを示している。
組織は影響を受けるすべての製品に対して、ベンダーが提供するパッチを速やかに適用することが求められる。D-Link DIR-823XのようにEOL(サポート終了)製品については、同等の現行サポート製品への移行を検討する必要がある。