Monthly PickUp：2026-04

CISA 予算から $707 M が削減？ 専門家の批判を招くトランプ大統領の提案

2026/04/09：Trump’s Proposed $707 Million CISA Budget Cut a ‘Gift to Nation-State Actors’

• トランプ大統領が CISA 予算から約 $707 M を削減する案を提示
  • 2025/06/03：トランプ予算案 2026：CISA の 予算 $500M と 約 30％の職員が削減対象に
    • 昨年の予算案：削減額は 約 $495M／職員の削減数 3,732人→2,649人
• 政府側：CISA を政府側：連邦ネットワーク・重要インフラ保護へ集中させる方針
• 専門家からの批判・指摘：
  • 重要インフラ防御を強化すると言いながら資金を削るのは矛盾
  • CISA の弱体化は、連邦政府・民間インフラ全体の防御力低下につながる
  • 中国やイランなどによる国家主体のサイバー脅威増大／AI によるゼロデイ発見・悪用の加速を考えると削減のタイミングが悪い
  • 攻撃者に有利な状況を作ることになりかねない
• 昨年に発表された予算案に比べ、削減対象の詳細は不明確 → 初期案の可能性あり

NIST NVD の方針転換：詳細情報の付与を優先対象のみに限定

2026/04/17：NIST, Overrun by Massive Numbers of Submitted CVEs, Limits Analysis Work

• 2024年以降、CVE の増加に伴い、従来の全件詳細分析モデルの維持が難しくなっていた
  • 2024/03/15：NIST NVD の障害：CVE に紐づくはずのメタデータが提供されていない
  • 2025/04/11：古い脆弱性は後回しに？ NIST が CVE データ管理の方針転換を発表
    • 2018年1月1日以前に公開されたバックログを “Deferred” とする方針
    • 古い CVE の未処理分を整理し、優先順位を明確にするための措置
  • 2026/04：NIST が全件分析モデルの限界を明確に認めた
• 方針転換の背景 ＝ CVE 件数の急増
  • 2020年〜2025年で脆弱性提出数が 263% 増加
    • 2025 CVE Data Review – JerryGamblin.com
  • AI による脆弱性検出やエクスプロイト生成能力の向上 → 今後さらに増加する可能性

今後の方針

• 詳細情報の付与を特定条件を満たすものだけに限定
  • すべての CVE は引き続き NVD に掲載される
  • ただし、優先条件に該当しない CVE は “Lowest Priority – not scheduled for immediate enrichment” とされ、すぐには詳細情報が付与されない。
  • 対象となる脆弱性
    1. CISA KEV カタログに掲載された脆弱性
    2. 連邦機関が使用するソフトウェアに関する脆弱性
    3. Executive Order 14028 で定義された重要ソフトウェアに関する脆弱性
       • ※EO 14028 … 米国政府のサイバーセキュリティ強化、特にソフトウェアサプライチェーンと重要ソフトウェアの保護を目的とした大統領令
• NIST 独自の深刻度スコア付与も縮小
  • これまで：CNA が深刻度スコアを付けていても、NIST が独自にスコアを付与していた。
  • 今後：NIST がすべての CVE に独自スコアを付ける運用をやめ、重複作業を減らす方針。
• 修正済み CVE の再分析も限定
  • これまで：エンリッチ済み CVE が更新された場合に再分析していた
  • 今後：エンリッチメント情報に重大な影響がある場合に限定する。
• バックログ処理の扱い
  • 2026年3月1日より前に NVD に掲載されたバックログ： “Not Scheduled” とされる。
  • KEV に掲載されている CVE：従来から優先処理されており、バックログには含まれない

今後さらに重要になる対応方針

• Security-by-Design の強化
• 製品出荷前の脆弱性テストとリスク評価
• 一律の CVSS / NVD メタデータ依存からの脱却
• 各組織の環境に応じたリスク評価
• 実際に悪用される可能性を重視した優先順位付け
• 分散的・能動的な脅威シグナルの活用

Microsoft Defender の脆弱性 CVE-2026-33825：非調整型の PoC 公開

要点

• Microsoft Defenderのゼロデイ脆弱性に対するPoC（概念実証コード）が公開
  • セキュリティ研究者が不満を背景に公開（調整開示ではない）
    
• 脆弱性の内容
  • Defenderの動作不備を悪用し、ローカル権限からSYSTEM権限へ昇格可能（特権昇格）
  • 悪意ファイルの処理ロジックを逆手に取り、システムファイル上書きが可能
    
• 複数のゼロデイ（BlueHammer / RedSun / UnDefend）
  • BlueHammer：特権昇格（※一部パッチ済み）
  • RedSun：特権昇格（未修正）
  • UnDefend：Defenderの更新・保護を無効化
    
• リスクの高さ
  • SYSTEM権限取得により、完全な端末乗っ取り（マルウェア実行・情報窃取など）が可能
  • すでに実際の攻撃で悪用が確認されている
    
• パッチ状況
  • 一部（BlueHammer）のみ修正済み
  • 他は未修正のまま公開されており危険な状態
    
• 背景
  • 研究者がMicrosoftの脆弱性対応に不満を持ち、公開に踏み切ったとされる
    https://deadeclipse666.blogspot.com/2026/04/public-disclosure-response-for-cve-2026.html
    

まとめ

Defender自身の仕組みを悪用して管理者権限を奪取できるゼロデイのPoCが公開され、未修正のまま実際の攻撃にも使われている危険な状況。