チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「リモート保守ツールに脆弱性が見つかったらしいけど、自社のMSP契約は大丈夫?」
「CISAの緊急対応指示って、米国機関だけの話ですよね?」
チップスボス、CISAが新しく4件も脆弱性をKEVに追加したらしいでしゅ!しかもCVSS 9.9って…ヤバくないでしゅか?
ボスうむ、SimpleHelpやSamsung MagicINFO、D-Linkといった日本でも使われる製品が含まれている。
MSP経由で連鎖的に被害が広がる構造を、まず押さえておく必要があるな。
米CISAが2026年4月24日にKEV(悪用が確認された脆弱性カタログ)へ追加した4件は、いずれも日本企業の業務環境にも入り込んでいる製品です。
本記事では脆弱性の中身、悪用の手口、担当者が今週中に取るべき対応を整理します。
リモート管理ツールやデジタルサイネージ、家庭向けルーターを扱う担当者は、5月8日の対応期限を区切りに、自社環境の棚卸しと優先度判断に役立ててください。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
今回CISAが追加した4件はリモート保守、デジタルサイネージ、家庭ルーターと攻撃面が広く、日本でも実利用が多い製品ばかりです。
The Hacker Newsの報道によると、登録された脆弱性は以下のとおりです。
いずれも実際の攻撃で悪用されており、対応の優先度はきわめて高い案件です。
| 製品 | CVE | CVSS | 悪用主体 |
|---|---|---|---|
| SimpleHelp(認証欠如) | CVE-2024-57726 | 9.9 | DragonForce |
| SimpleHelp(パストラバーサル) | CVE-2024-57728 | 7.2 | DragonForce |
| Samsung MagicINFO 9 Server | CVE-2024-7399 | 8.8 | Mirai系ボット |
| D-Link DIR-823X | CVE-2025-29635 | 7.5 | Mirai系ボット |
KEV登録はBOD 22-01に基づき米連邦機関へ期限内修正を義務づける仕組みです。
今回の期限は5月8日ですが、攻撃者が無差別に狙うシグナルでもあり、民間企業も同じ目線で見ておくべきです。
とくに気をつけたいポイントはこのような点です。
同じKEV登録でも悪用主体で被害の出方が変わります。
SimpleHelp系はランサムウェア、Samsung・D-Link系はボットネット拡大が中心です。
SecurityWeekによると、DragonForceは3件のSimpleHelp脆弱性を連鎖させて未パッチMSPに侵入し、顧客環境へ一括でランサムウェアを展開しました。
侵害の段取りは概ね以下のとおりです。
チップスえっ、自社が直接やられなくても、契約しているMSPが落ちたら一発アウトでしゅか?
ボスそのとおりだ。RMMの正規通信に紛れて配信されるため、エンドポイント側では検知が遅れがちになるのだ。
SimpleHelpは2025年1月中旬のパッチ公開から2週間以内に未パッチ機が攻撃対象となり、Samsung MagicINFOもPoC公開後ほどなくMiraiが取り込みました。
「修正したから安心」ではなく「公開された瞬間にスキャンが始まる」前提で動く必要があります。
担当者がまず確認したい点は次のとおりです。
チップスMSPも自社も両方見ないと足元をすくわれるんでしゅね…
ボスうむ。KEVは攻撃者の本気サインだ。
5月8日を区切りに、自社で使う製品を一覧化しておけば次の登録にも備えられる。
KEV登録は米連邦機関だけの話ではありません。
SimpleHelpはMSPからの連鎖、Samsung・D-LinkはMirai感染拡大と、日本のサプライチェーンや拠点ネットワークにも直結します。
パッチ適用と外部公開面の見直し、MSPベンダーへの対応状況確認まで一気に進めましょう。
こうしたKEV情報をリアルタイムに翻訳・優先度付けできるセキュリティ人材は、現場で常に引っ張りだこです。
腕に覚えがあるなら、案件ベースで力を試せる場所もあります。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
