米CISAが脆弱性7件をKEVカタログに追加：マイクロソフト4件、Adobe 2件、Fortinet 1件

米CISAが悪用されている脆弱性7件をKEVカタログに追加：マイクロソフト4件、Adobe 2件、Fortinet 1件

The Register – Mon 13 Apr 2026

米CISAは4月13日、マイクロソフト製品などにおける脆弱性7件をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加。これには14年前の古い脆弱性や、ランサムウェアの活動と関連する脆弱性が含まれているという。

今回KEVカタログに追加された悪用されている脆弱性のうち、マイクロソフト製品のものは以下4件。いずれについても、米連邦政府機関には4月27日までの対処が命じられている。

• CVE-2025-60710：Windowsタスクのホストプロセスにおける特権昇格の脆弱性。2025年11月に初めて開示されたもので、その翌月に修正された。
• CVE-2023-36424：Windows 共通ログファイルシステムドライバーにおける特権昇格の脆弱性。2023年11月に修正されている。
• CVE-2023-21529：Microsoft Exchange Serverにおけるリモートコード実行の脆弱性で、2023年2月に開示・修正されている。マイクロソフトは4月6日、金銭的動機を持つサイバー犯罪グループStorm-1175が、Medusaランサムウェアを展開する攻撃の中で同脆弱性およびその他複数の脆弱性を悪用している旨を報告していた。
• CVE-2012-1854：Visual Basic for Applicationsにおける安全でないライブラリの読み込みの脆弱性で、リモートコード実行につながる恐れがあるもの。2012年7月に最初のセキュリティ修正プログラムがリリースされ、同年11月に完全に修正された。マイクロソフトは当時の時点で「この脆弱性を悪用しようとする限定的な数の標的型攻撃を認識している」と述べており、およそ14年前にも悪用されていた上、今回KEVカタログに追加されたことで現在でも攻撃者に利用されていることが伺える。

関連記事：マイクロソフト、Medusaランサムウェアのアフィリエイトを複数のゼロデイ攻撃に関連付け

CVE-2023-21529を除き、上記の脆弱性がどのような攻撃で悪用されているのかなどは明かされていない。

CISAが4月13日にKEVカタログに追加したマイクロソフト製品以外の脆弱性は以下。

• CVE-2020-9715：Adobe Acrobatにおける解放済みメモリ使用の脆弱性。任意のコード実行につながる恐れがある。
• CVE-2026-34621：Adobe AcrobatおよびReaderにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に起因する問題で、任意のコード実行につながる恐れがある。数か月前からゼロデイとして悪用されていたことがわかっている。
• CVE-2026-21643：Fortinet FortiClient Endpoint Management Server（EMS）におけるSQインジェクションの脆弱性で、認証されていない攻撃者による不正なコマンドまたはコードの実行を可能にする恐れがある。4月4日、セキュリティ企業Defused Cyber​が同脆弱性がゼロデイとして悪用されていると警告していた。

Adobeの脆弱性2件については4月27日まで、Fortinet製品の脆弱性について4月16日までの対応が米連邦政府機関には命じられている。