チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「リモート保守ツールに脆弱性が見つかったらしいけど、自社のMSP契約は大丈夫?」
「CISAの緊急対応指示って、米国機関だけの話ですよね?」
チップスボス、CISAが新しく4件も脆弱性をKEVに追加したらしいでしゅ!しかもCVSS 9.9って…ヤバくないでしゅか?
ボスうむ、SimpleHelpやSamsung MagicINFO、D-Linkといった日本でも使われる製品が含まれている。
MSP経由で連鎖的に被害が広がる構造を、まず押さえておく必要があるな。
米CISAが2026年4月24日にKEV(悪用が確認された脆弱性カタログ)へ追加した4件は、いずれも日本企業の業務環境にも入り込んでいる製品です。
本記事では脆弱性の中身、悪用の手口、担当者が今週中に取るべき対応を整理します。
リモート管理ツールやデジタルサイネージ、家庭向けルーターを扱う担当者は、5月8日の対応期限を区切りに、自社環境の棚卸しと優先度判断に役立ててください。
オススメ案件
【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド
【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ
【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
今回CISAが追加した4件はリモート保守、デジタルサイネージ、家庭ルーターと攻撃面が広く、日本でも実利用が多い製品ばかりです。
The Hacker Newsの報道によると、登録された脆弱性は以下のとおりです。
いずれも実際の攻撃で悪用されており、対応の優先度はきわめて高い案件です。
| 製品 | CVE | CVSS | 悪用主体 |
|---|---|---|---|
| SimpleHelp(認証欠如) | CVE-2024-57726 | 9.9 | DragonForce |
| SimpleHelp(パストラバーサル) | CVE-2024-57728 | 7.2 | DragonForce |
| Samsung MagicINFO 9 Server | CVE-2024-7399 | 8.8 | Mirai系ボット |
| D-Link DIR-823X | CVE-2025-29635 | 7.5 | Mirai系ボット |
KEV登録はBOD 22-01に基づき米連邦機関へ期限内修正を義務づける仕組みです。
今回の期限は5月8日ですが、攻撃者が無差別に狙うシグナルでもあり、民間企業も同じ目線で見ておくべきです。
とくに気をつけたいポイントはこのような点です。
同じKEV登録でも悪用主体で被害の出方が変わります。
SimpleHelp系はランサムウェア、Samsung・D-Link系はボットネット拡大が中心です。
SecurityWeekによると、DragonForceは3件のSimpleHelp脆弱性を連鎖させて未パッチMSPに侵入し、顧客環境へ一括でランサムウェアを展開しました。
侵害の段取りは概ね以下のとおりです。
チップスえっ、自社が直接やられなくても、契約しているMSPが落ちたら一発アウトでしゅか?
ボスそのとおりだ。RMMの正規通信に紛れて配信されるため、エンドポイント側では検知が遅れがちになるのだ。
SimpleHelpは2025年1月中旬のパッチ公開から2週間以内に未パッチ機が攻撃対象となり、Samsung MagicINFOもPoC公開後ほどなくMiraiが取り込みました。
「修正したから安心」ではなく「公開された瞬間にスキャンが始まる」前提で動く必要があります。
担当者がまず確認したい点は次のとおりです。
チップスMSPも自社も両方見ないと足元をすくわれるんでしゅね…
ボスうむ。KEVは攻撃者の本気サインだ。
5月8日を区切りに、自社で使う製品を一覧化しておけば次の登録にも備えられる。
KEV登録は米連邦機関だけの話ではありません。
SimpleHelpはMSPからの連鎖、Samsung・D-LinkはMirai感染拡大と、日本のサプライチェーンや拠点ネットワークにも直結します。
パッチ適用と外部公開面の見直し、MSPベンダーへの対応状況確認まで一気に進めましょう。
こうしたKEV情報をリアルタイムに翻訳・優先度付けできるセキュリティ人材は、現場で常に引っ張りだこです。
腕に覚えがあるなら、案件ベースで力を試せる場所もあります。
オススメ案件
【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド
【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ
【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
