米CISAのKEVカタログ、2025年に掲載数が20％増

nosa

2026.01.06

米CISAのKEVカタログ、2025年に掲載数が20％増　リストアップされた脆弱性は1,480件を超える

SecurityWeek – January 5, 2026

2021年11月の公開以来、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）のKEVカタログには毎年多くの脆弱性が追加されている。サイバーセキュリティ企業Cybleが2日に発表したブログ記事によると、計245件が追加された2025年には直近3年間で最も多い20％の拡大率を記録したという。

昨年加わったバグの大半は新しいものだったが、2024年以前に特定された欠陥も94件含まれていたとのこと。その中で最も古いのは、Microsoft Officeにおけるリモートコード実行（RCE）のバグとされるCVE-2007-0671だった。これはWindows NTおよびWindows 2000のsmss.exeデバッグサブシステムに存在する権限昇格の脆弱性で、ランサムウェア攻撃に悪用されることが知られている。

実際にランサムウェア攻撃に悪用された脆弱性としては、CitrixBleed 2（CVE-2025-5777）やOracle E-Business Suite（CVE-2025-61882とCVE-2025-61884）のバグなど24件が追加されている。Cybleの分析によると、そのほかにもOSコマンドインジェクション、信頼できないデータのデシリアライズ、パストラバーサル、解放後使用、境界外書き込み、XSS、コードインジェクション、不適切な認証といった脆弱性がリストに加えられた。

同カタログにリストアップされた脆弱性は現時点で1,484件を数え、2023年には187件、2024年には185件の脆弱性が追加されていた。

NordVPN、侵害疑惑を否定　盗まれたのは「ダミーデータ」と指摘

BleepingComputer – January 5, 2026

リトアニアの大手VPNサービスNordVPNは5日、同社のSalesforce開発サーバーを侵害したとする脅威アクターの主張を否定し、サードパーティの自動テストプラットフォームのトライアルアカウントから盗まれたのは「ダミーデータ」だと指摘した。

NordVPNの声明は、ある脅威アクター（ハンドルネーム「1011」）が先週末にハッキングフォーラムで行った主張を受けて発表された。このアクターは同社の開発サーバーにブルートフォース攻撃を仕掛け、Salesforce APIキーやJiraトークンなどの機微情報を含む10件以上のデータベースを盗んだと主張。しかしNordVPNの説明によると、これは当時取引先候補だったあるベンダーの自動テストで数か月前に導入された暫定的なテスト環境から盗まれたテストデータだったようだ。

このテスト環境はNordVPNのインフラに接続されておらず、盗まれたデータには顧客や企業の機微情報も含まれていないという。同社は「特定のAPIテーブルやデータベーススキーマなどの漏洩した要素は、機能チェックに使用されたダミーデータのみを含む、隔離されたサードパーティのテスト環境のアーティファクトでしかあり得ない」と述べた。