CISA Adds Critical Aquasecurity Trivy Scanner Vulnerability to KEV Catalog
2026/03/27 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Aqua Security の Trivy スキャナに影響を及ぼす深刻な脆弱性 CVE-2026-33634 を、Known Exploited Vulnerabilities (KEV) カタログへ緊急追加した。この脆弱性は、CI/CD (Continuous Integration/Continuous Deployment) 環境を標的とする埋め込み型 (エンベッド型) のマルウェア・コードに関係するものだ。
Trivy は 広く利用されるオープンソースの脆弱性スキャナであり、DevOps パイプラインにネイティブに組み込まれることが多いため、この脆弱性の積極的な悪用は、世界中のユーザー組織にとって深刻なサプライチェーン・リスクとなる。
このエクスプロイトの中核にあるのは、CWE-506 に分類される埋め込み型のマルウェア・コードの脆弱性である。この脆弱性のトリガーに成功した攻撃者は、標準的なアクセス制御を回避し、対象 CI/CD 環境全体の可視性を完全に取得できる。
侵害が成功した場合の影響の範囲は、きわめて広範である。メモリ空間および運用コンフィグを横断的に探索して、高価値の機密情報の取得が可能となる。具体的には、開発トークン/SSH 鍵/クラウドインフラ資格情報/バックエンド・データベース・パスワードなどが収集されてしまう。
Trivy のようなスキャナは、コンテナイメージ/ファイルシステム/リポジトリを解析するために、深層に至るシステム・アクセス権を必要とする。したがって、このスキャナが侵害されることは、ソフトウェア開発ライフサイクル全体の制御権を攻撃者に渡すことを意味する。
現時点において、この脆弱性とランサムウェア・キャンペーンとの関連性は不明であるが、データ流出能力の高さを考慮すると、高度持続的脅威 (APT) や Initial Access Broker にとって極めて高い価値を持つものとなる。
CISA の KEV カタログは、連邦政府内で積極的に悪用されている脆弱性の、権威ある情報源として機能している。2026年03月26日に CVE-2026-33634 を追加したことに伴い、CISA は厳格な対応期限を設定した。Federal Civilian Executive Branch (FCEB) 機関は、2026年04月09日までに、この脆弱性に対処する必要がある。
クラウドベース CI/CD パイプラインを管理するセキュリティ・チームは、Binding Operational Directive (BOD) 22-01 に記載されたガイダンスにも従う必要がある。
CISA KEV は、民間組織のネットワーク防御担当者に対しても、脆弱性の管理における優先順位付けを支援している。ユーザー組織は、ベンダーの明示的な指示に従い、直ちに緩和策を適用することが求められる。
なお、パッチまたは緩和策が利用できない環境においては、Trivy 製品の完全な使用停止を、CISA は推奨している。
訳者後書:CISA KEV に脆弱性スキャナ Trivy の深刻な脆弱性 CVE-2026-33634 が追加されました。この脆弱性の原因は、スキャナの内部に悪意のコードが紛れ込む、埋め込み型 (エンベッド型) のマルウェア・コード (CWE-506) という不備にあります。
Trivy はコンテナやリポジトリの深い階層を解析するために、システムの深層に至るアクセス権限を持っています。そのため、この脆弱性の悪用に成功した攻撃者は、CI/CD 環境全体の制御権を握ることができてしまいます。具体的には、開発用のトークン/SSH 鍵/クラウドインフラの認証情報/データベースのパスワードといった機密情報が、メモリや設定ファイルから根こそぎ盗み取られてしまう恐れがあります。ご利用のチームは、ご注意ください。
よろしければ、2026/03/21 の「Trivy Scanner でサプライチェーン攻撃:バージョン・タグの書き換えによる認証情報窃取」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.