米CISAは、実際に悪用が確認されている脆弱性リスト(KEV)に、AppleやCraft CMS、Laravel Livewireの欠陥を新たに追加しました。対象となる脆弱性はすでに攻撃に利用されており、米連邦機関には2026年4月3日までの対応が求められています。これらの問題はデータ窃取や遠隔操作につながる可能性があり、民間企業でも早急な確認が必要です。
The Hacker News:CISA Flags Apple, Craft CMS, Laravel Bugs in KEV, Orders Patching by April 3, 2026
この記事のポイント
影響のあるシステム
- Apple製品(WebKitおよびカーネル関連コンポーネント)
- Craft CMS(CVE-2025-32432の影響を受けるバージョン)
- Laravel Livewire(特定条件下で影響)
- iOS環境(DarkSwordエクスプロイトキットの影響を受ける可能性)
推奨される対策
- 該当するセキュリティアップデートの適用
- 未更新システムの有無を資産管理台帳で確認
- 不審な挙動や通信の監視強化
- 公開サーバーやCMSの脆弱性スキャンの実施
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE:脆弱性ごとに付与される識別番号です。
- CVSS:脆弱性の深刻度を数値化した指標です。
- KEV(Known Exploited Vulnerabilities):実際に攻撃で悪用されている脆弱性のリストです。
実際に悪用されている脆弱性の概要
今回CISAがKEVカタログに追加したのは、Apple、Craft CMS、Laravel Livewireに関連する合計5件の脆弱性です。いずれも既に攻撃で利用されていると報告されており、迅速な対応が求められています。Apple関連ではWebKitやカーネルにおけるメモリ破損の問題が含まれており、不正なWebコンテンツやアプリを通じて異常動作やメモリ改ざんが発生する可能性があります。
一方、Craft CMSのCVE-2025-32432はCVSSスコア10.0と極めて高い危険度を持ち、遠隔から任意のコードを実行される可能性が指摘されています。また、Laravel LivewireのCVE-2025-54068についても、条件次第で未認証のままコマンド実行が可能になるとされています。
これらの脆弱性はいずれも既に修正済みですが、未適用の環境が狙われているため、過去のアップデート漏れがないか確認することが重要です。
攻撃の実態と関与が疑われる脅威アクター
Apple関連の脆弱性については、「DarkSword」と呼ばれるエクスプロイトキットで悪用されていると報告されています。このキットは複数の脆弱性を組み合わせてマルウェアを配布する仕組みで、GHOSTBLADEやGHOSTKNIFEなどの情報窃取型マルウェアが展開されるケースが確認されています。
また、Craft CMSの脆弱性はゼロデイとして利用された可能性があり、その後は「Mimo」と呼ばれる攻撃グループによって暗号資産マイナーやプロキシウェアの配布に悪用されています。さらに、Laravel Livewireの脆弱性については、イラン系とされるMuddyWater(Boggy Serpens)による攻撃で利用されたと指摘されています。
このグループは外交・エネルギー・金融など重要インフラを標的としており、ソーシャルエンジニアリングと高度なマルウェアを組み合わせた攻撃を展開しているとされています。
国内組織が直ちに確認すべきポイント
日本国内の企業や組織においても、今回のKEV追加は重要な意味を持ちます。KEVに登録された脆弱性は「実際に攻撃で使われている」ことが前提であるため、優先度を上げて対応すべき対象です。まずは自社で利用しているApple端末やCMS、フレームワークのバージョンを確認し、該当する脆弱性が含まれていないかを洗い出す必要があります。
特にWeb公開システムや開発環境にLaravelやCraft CMSを使用している場合、攻撃の入口となる可能性があります。また、モバイル端末についてもOSの更新状況を確認し、古いバージョンが残っていないかチェックすることが重要です。
さらに、パッチ適用だけでなく、不審な通信や挙動の監視を強化することで、既に侵害されている可能性にも備えることが求められます。脆弱性管理の優先順位を見直す契機とすることが望まれます。
