米NIST、優先度が低い脆弱性の評価を停止　報告増に伴う業務量増加に対処

米NIST、優先度が低い脆弱性の評価を停止　報告増に伴う業務量増加に対処

BleepingComputer – April 19, 2026

米国標準技術研究所（NIST）は今後、優先度が低い脆弱性について深刻度スコアの評価を停止する方針のようだ。

これは脆弱性の報告件数と比例して増え続ける業務量に対処するための措置とされ、4月15日以降は特定のリスク基準を満たす脆弱性のみ詳細情報（深刻度評価、対象製品リストなど）が提供されるとのこと。NISTが運営する脆弱性データベース（NVD）には引き続き報告された脆弱性がすべて掲載されるが、優先度の低いセキュリティ欠陥はCNA（CVE Numbering Authority）の深刻度評価のみ付与される。

NISTの発表によると、脆弱性の報告件数は最近の調査で263％増を記録した上、2026年もさらに増加し続けることが見込まれているという。また、2025年には4万2,000件のCVEについて詳細情報を提供したものの、報告件数が増えるペースに対応が追いつかなくなったと説明した。

今後は以下いずれかの基準を満たす脆弱性のみ詳細な情報が提供される。

• 米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁のKEV（悪用が確認済みの脆弱性）カタログに掲載されたもの
• 米連邦政府機関のソフトウェアに影響を与えるもの
• 米大統領令14028号に基づき、重要なソフトウェアに関連するもの

この新たな規則により、NISTは最も危険と思われるCVEに重点的に取り組めるようになると話しているが、その一方で重大な影響を及ぼしかねないCVEが見落とされる危険性があることも認めている。そのため、優先度の低いCVEに関する情報の追加依頼については、メールアドレス「nvd@nist.gov」で受け付ける意向も明らかにした。

ランサムウェア攻撃から約2年、ロンドンの医療現場は混乱続く

The Record – April 18th, 2026

英医療検査サービス企業Synnovisがランサムウェア攻撃を受け、ロンドン南東部の医療体制が大混乱に陥ってから2年近くの月日が流れたが、少なくとも1件の国立病院がいまだにその影響下で業務を続けているという。

内部文書によると、サウスロンドン＆モーズリーNHS基金トラスト（SLAM）ではシステムが完全に復旧していない上、大量の検査結果の処理が遅れている模様。2026年1月初めの時点で病理検査報告書16万1,560件の患者記録への入力が遅れていると推定され、結果の見落としや対応の遅れといったリスクが高まっているとThe Recordは指摘した。

SLAMのデータには、今年1月の時点で病理検査結果の誤り、入手不能、または遅延による患者安全上のインシデントが122件記録されているとのこと。他病院では影響の程度が異なり、1万1,000件以上の予約がキャンセルされたケースや、被害が記録されていない病院もあるようだ。ただしインシデントの記録方法が違うため、これらの数値は直接比較できないとされる。

2024年6月に発生したSynnovisに対するQilinランサムウェアグループの攻撃では、機微性の高い患者データの窃取と公開も行われた。報道によると、がんや性感染症といった既往歴のある患者など約100万人分の情報が漏洩した可能性があり、その多くは2025年後半まで通知を受けていなかったとされている。

Synnovisのインシデントについて、情報コミッショナーオフィス（ICO）は詳細を明らかにしておらず、調査を継続中と述べるにとどまっている。また、地域全体のサービス調整を担うNHSサウス・イースト・ロンドンは大半の医療機関で混乱が解消済みと報告しているが、やはり影響の詳細について明らかにしていない。