今週は合計823件のスコア付きCVEが公開・更新され、うちCriticalが78件、Highが277件を占めました。金曜に報告されたCisco Secure Firewall Management Center(FMC)のデシリアライゼーションRCE(CVSS 10.0、CISA KEV登録済み)が最も深刻で、Interlockランサムウェアキャンペーンとの関連が指摘されています。火曜にはGitHub Actionsを標的としたサプライチェーン攻撃が2件報告され、CI/CDパイプラインのセキュリティが改めて問われる週となりました。
Adobe Commerceのセッション乗っ取り(CVE-2025-54236、CISA KEV)は週を通じてNVDで情報が更新され続けており、未対応のECサイトは引き続き最優先での対応が必要です。水曜にはsnapdのローカル権限昇格がQualysから報告され、Ubuntu環境に広く影響します。デシリアライゼーション脆弱性がCritical帯に集中した点も今週の特徴です。
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 5 | 200 | 218 | 200 | 200 | 823件 |
| Critical | 1 | 20 | 26 | 12 | 19 | 78件 |
| High | 4 | 61 | 90 | 52 | 70 | 277件 |
注目脆弱性 TOP5
CVE-2026-20131 — Cisco FMC 安全でないデシリアライゼーションRCE
- CVSSスコア: 10.0 (Critical)
- 影響: Cisco Secure Firewall Management Center (FMC) Software
- 掲載日: 3/20(金)
- 要約: FMCのWeb管理インターフェースで、未認証のリモート攻撃者が細工されたJavaオブジェクトを送信し、root権限で任意コードを実行できます。AWSの脅威インテリジェンスチームがInterlockランサムウェアキャンペーンとの関連を報告しており、CISA KEVに登録済みです。管理インターフェースがインターネットに公開されている環境では即座の対応が必要です。
- 対策: Ciscoが提供するパッチを適用し、管理インターフェースのアクセス制限を確認
CVE-2026-31976 — xygeni-action サプライチェーン攻撃(タグ改ざん + C2インプラント)
- CVSSスコア: 9.8 (Critical)
- 影響: xygeni/xygeni-action@v5 を参照するすべてのGitHub Actionsワークフロー(2026年3月3日〜10日)
- 掲載日: 3/17(火)
- 要約: 攻撃者が漏洩した認証情報を使い、xygeni-actionのv5タグを悪意あるコミットに差し替えました。@v5を参照するワークフローが自動的にC2インプラントを実行する状態となり、影響期間中のワークフロー実行ごとに最大180秒間、攻撃者が任意コマンドを実行可能でした。同日にはPython Black GitHub Action(CVE-2026-31900)でもpyproject.toml経由のRCEが報告されています。
- 対策: 影響期間に@v5を使用していた場合はシークレットのローテーションと監査ログの確認を推奨。GitHub ActionsではタグではなくコミットSHAでの参照を推奨
CVE-2025-54236 — Adobe Commerce セッション乗っ取り(CISA KEV登録済み)
- CVSSスコア: 9.1 (Critical)
- 影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前
- 掲載日: 3/16(月)〜3/20(金)にかけて継続更新
- 要約: 入力検証の不備によりセッション乗っ取りが可能です。ユーザー操作不要で攻撃でき、CISA KEVカタログに登録済みで実際の攻撃が確認されています。週を通じてNVDで情報が更新され続けており、対応の緊急度が高い状態が続いています。
- 対策: Adobeセキュリティパッチ APSB25-88 を早急に適用
CVE-2026-3888 — snapd ローカル権限昇格(snap-confine / systemd-tmpfiles)
- CVSSスコア: HIGH(Qualys分類: Important)
- 影響: snapdを使用するUbuntu / Linuxディストリビューション
- 掲載日: 3/18(水)
- 要約: Qualysが報告したsnapdの権限昇格脆弱性です。snap-confineとsystemd-tmpfilesの連携部分にローカルの攻撃者がroot権限を取得できる脆弱性が存在します。Ubuntuをはじめsnapdが標準搭載されたディストリビューションに幅広く影響するため、対象環境でのパッチ確認を推奨します。
- 対策: Ubuntuのセキュリティアップデートを適用
CVE-2025-15467 — OpenSSL CMS AuthEnvelopedData スタックバッファオーバーフロー
- CVSSスコア: 8.8 (High)
- 影響: OpenSSL 3.0 / 3.3 / 3.4 / 3.5 / 3.6
- 掲載日: 3/20(金)
- 要約: OpenSSLのCMS AuthEnvelopedData解析処理にスタックバッファオーバーフローが存在します。認証前のフェーズで発生するため秘密鍵なしで攻撃可能です。OpenSSLは暗号通信の基盤ライブラリとして広く利用されており、影響バージョンを確認のうえアップデートを推奨します。
- 対策: OpenSSLの最新パッチバージョンへアップデート
週間トレンド分析
デシリアライゼーション脆弱性(CWE-502)がCritical帯に集中: Cisco FMC(CVSS 10.0)、EPyT-Flow(CVSS 10.0)、Microsoft SharePoint(CVSS 8.8、CISA KEV)、Wazuh(CVSS 9.1)、CSLA .NET(CVSS 9.8)と、今週だけでCritical/Highのデシリアライゼーション脆弱性が5件以上報告されました。信頼できないデータのデシリアライゼーションがRCEに直結するパターンが繰り返されています。
サプライチェーン / CI/CD攻撃: xygeni-action(タグ改ざんによるC2配布)とPython Black(pyproject.toml経由のRCE)の2件が火曜に集中して報告されました。GitHub Actionsのアクション参照にタグではなくコミットSHAを使うベストプラクティスの重要性が改めて浮き彫りになっています。
Node.jsエコシステムに脆弱性が集中: Next.js v16.1.7で5件のセキュリティ修正(HTTPリクエストスマグリング、CSRFバイパス、DoS等)、Feathers.jsのOAuth認証バイパスとNoSQLインジェクション、@fastify/middieの認証バイパスと、ミドルウェア層の検証不備を原因とする脆弱性が目立ちました。Angular i18n属性バインディングのXSS(CVE-2026-32635)もフロントエンド開発者への注意喚起が必要です。
MCP / AIツールが新たな攻撃対象面に: TUUI MCPクライアント(CVE-2025-66562、CVSS 9.6)ではMarkdownレンダリング経由のXSSからRCEに至る脆弱性が、Godot MCPサーバー(CVE-2026-25546)でもセキュリティ問題が報告されました。AIエージェントツールのセキュリティ確保が今後の重要課題です。
IoT / OT機器の脆弱性が継続: GL-iNetルーター(3件、CVSS 9.8)、HMS Networks Ewon(4件、CVSS 9.8)、Edimax GS-5008PL(認証バイパス含む5件)と、産業機器やネットワーク機器のCritical脆弱性が多数報告されました。Siemens PLCのトレースファイル経由RCE(CVSS 9.6)もOT環境の管理者は確認が必要です。
前週との比較: 前週(3/9〜3/13)はCritical 130件でしたが、今週は78件と減少傾向です。ただし、CISA KEV登録が複数件あり、実際の悪用が確認された脆弱性の質的な深刻さは変わりません。CVSS 10.0は4件(Cisco FMC、EPyT-Flow、SandboxJS、Himmelblau)報告されています。
日別ダイジェスト
- 3/16(月): CVE 5件 — Angular XSS脆弱性とAdobe Commerce CVSS 9.1が注目
- 3/17(火): CVE 200件 — GitHub Actionsサプライチェーン攻撃2件、CVSS 10.0が3件
- 3/18(水): CVE 218件 — snapd権限昇格とNext.js v16.1.7で5件修正
- 3/19(木): CVE 200件 — EPyT-Flow CVSS 10.0のデシリアライゼーションRCE、MCP脆弱性2件
- 3/20(金): CVE 200件 — Cisco FMC CVSS 10.0(CISA KEV)、OpenSSLスタックBOF
まとめ・来週の注目ポイント
今週はCisco FMCのCVSS 10.0 RCE(CISA KEV、ランサムウェア関連)が最も緊急度の高い脆弱性でした。デシリアライゼーション脆弱性がCritical帯に集中し、サプライチェーン攻撃もCI/CDパイプラインを狙う形で2件報告されています。Node.jsエコシステムではNext.js、Feathers.js、@fastify/middieと認証・DoS系の修正が相次ぎ、依存関係の棚卸しが推奨されます。
来週はOpenSSLのパッチ適用状況の確認が重要です。また、Adobe Commerceは週を通じて更新が続いており、ECサイト運営者は対応完了の再確認を推奨します。MCP / AIツール関連の脆弱性は今後も増加が見込まれるため、AIエージェントを業務に組み込んでいる場合は利用ツールのセキュリティアドバイザリの定期確認を始めることを推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。