チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「CISAのKEVカタログに新しい脆弱性が追加されたって聞いたけど、自社のWindows環境は大丈夫?」
「ScreenConnectなんて使ってないし、関係ないよね?」
チップスボス、CISAが急にKEVカタログに2件も追加したでしゅよ!しかも対応期限が5月12日って、ゴールデンウィーク直撃でしゅ……。
ボスふふふ、これは要注意だな。特にWindows Shell脆弱性(CVE-2026-32202)はゼロクリックでNTLMv2ハッシュが流出する。Akamaiの研究者が指摘した通り、フォルダを開くだけで認証情報が攻撃者の手に渡るぞ。
休暇前のこのタイミングでKEV追加が出たのは偶然ではありません。
長期休暇中は管理者の対応が遅れがちで、攻撃者が好んで狙う期間だからです。
本記事では、追加された2件の脆弱性の本質と、日本企業が今すぐ取るべき行動を整理します。
休暇前にパッチを当てておくか、休暇明けに被害報告を受けるか、その分かれ道がここにあります。
記事を最後まで読み、あなたの組織のリスクを把握してください。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
4月28日にCISAがKEVカタログへ追加した2件は、いずれも積極的な悪用が確認されています。
CISAは4月28日付けで、ConnectWise ScreenConnectのパストラバーサル脆弱性(CVE-2024-1708)とMicrosoft Windows Shellの保護機構失敗脆弱性(CVE-2026-32202)をKEVカタログに登録しました。
米国連邦民間機関(FCEB)への対応期限は5月12日と定められており、日本企業もこの基準に合わせて動くべきタイミングです。
2件の概要は以下のとおりです。
| CVE | 製品 | 種別 | CVSS |
|---|---|---|---|
| CVE-2024-1708 | ConnectWise ScreenConnect | パストラバーサル(Zip Slip) | 8.4 |
| CVE-2026-32202 | Microsoft Windows Shell | 保護機構失敗(NTLMハッシュ漏洩) | 4.3 |
チップスあれ、Windows Shellの方ってCVSSが4.3なんでしゅね。意外と低いような……?
ボススコアの数字に騙されるな。CISA KEV入りした時点で「実際に悪用されている」という事実が重要なんだ。CVSSは理論値だが、KEVは現場で起きている脅威を示す。
ScreenConnectは中堅企業のリモートサポートやMSP事業者で広く使われており、Shadowserverによれば世界で約8200台が外部公開されていると報告されています。
Windows ShellはほぼすべてのWindows 10/11/Serverに影響するため、日本企業の業務環境のほぼ全域がスコープに入ります。
影響を受けやすい環境は以下のとおりです。
2件の脆弱性は手口が大きく異なります。それぞれの攻撃シナリオを押さえましょう。
CVE-2026-32202は、悪意あるLNKファイル(ショートカット)の中に細工した「LinkTargetIDList」構造を仕込み、攻撃者のサーバーへのUNCパス(例:\\attacker.com\share\payload.cpl)を埋め込みます。
ユーザーがそのフォルダを開くだけでWindowsが自動的にSMB接続を開始し、Net-NTLMv2ハッシュが攻撃者へ送信されます。
本脆弱性は2026年2月に修正されたCVE-2026-21510の不完全なパッチが原因で、Akamaiは2025年12月にAPT28がウクライナ・EUへの攻撃で類似手口を使ったと報告しました。
チップスつまり、添付ファイルを開かなくても、フォルダを覗いただけでアウトってことでしゅか!?怖すぎでしゅ!
ボスそうだ。流出したハッシュはオフラインでクラッキングされるか、NTLMリレー攻撃で横展開に使われる。一度流出すれば取り返しがつかんぞ。
ScreenConnectの脆弱性は、拡張機能(.zip)アップロード時にファイル名のディレクトリトラバーサル文字(../../)を検証していなかったことが原因です。
攻撃者は悪意あるZIPに「../../malware.exe」のようなパスを含めることで、Webシェルをアプリケーションのルートディレクトリに直接配置できます。
結果としてリモートコード実行が成立し、リモート保守対象の全顧客環境への侵入経路となります。
取るべき対策は以下のとおりです。
CISA KEVに追加された2件は、いずれも休暇期間中の悪用に直結する脅威です。
Windows Shellのゼロクリック攻撃はファイルを開かずとも被害が発生し、ScreenConnectのZip Slipは保守経由で多数の顧客環境を巻き込みます。
パッチ適用とSMB遮断、運用ログの強化を5月12日までに完了させ、休暇中の侵害を未然に防いでください。
チップスボス、ありがとうございましゅ!連休前にちゃんとパッチ当てるでしゅ!
ボスその意気だ。攻撃者は休まないからな。我々も準備を怠らずいこう。
セキュリティ運用の最前線で経験を積みたい方、休暇中の脅威対応で実力を発揮したい方は、ぜひセキュリティフリーランス案件への参画をご検討ください。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
