VMware Aria Operationsに悪用中の脆弱性——CISAが緊急警告を発出

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が、現在進行形で悪用されている深刻な脆弱性について警告を発しました。2026年3月3日、「悪用が確認された脆弱性カタログ（KEV）」に新たに2件の脆弱性が追加され、米国内の行政機関への対策促進とともに広く注意喚起が行われています。

VMware Aria Operationsのコマンドインジェクション脆弱性

今回警告対象となった脆弱性の一つは、BroadcomのVMware Aria Operationsに確認されたコマンドインジェクションの脆弱性「CVE-2026-22719」です。この脆弱性は、サポート支援の製品移行中に任意のコマンドを実行される危険性があると報告されています。

Broadcomは2026年2月24日にセキュリティアドバイザリを公開し、「CVE-2026-22720」「CVE-2026-22721」とともに修正を完了したと発表していました。しかし、同社はアドバイザリを更新し、悪用の報告があることを認める一方で、エクスプロイトの有効性については確認に至っていないと述べています。

Androidディスプレイコンポーネントの整数オーバーフロー

もう一つの脆弱性「CVE-2026-21385」は、2026年3月にAndroid向けに公開されたパッチレベル「2026-03-05」で修正された整数オーバーフローの脆弱性です。この脆弱性は、Qualcomm製ディスプレイコンポーネントにおいてメモリ確保時のアラインメント処理に起因し、メモリ破壊が生じる問題となっています。

特に注目すべきは、Googleにおいても限定的な標的型攻撃による悪用の兆候が確認されていることが報告されている点です。これは、単なる理論上の脅威ではなく、実際の攻撃活動で使用されていることを示しています。

企業が取るべき緊急対応策

CISAのKEVカタログへの追加は、これらの脆弱性が現実的な脅威として認識されていることを意味します。特にVMware Aria Operationsは企業のインフラ管理において重要な役割を果たしているため、影響範囲は広範囲に及ぶ可能性があります。

一般的に、このような緊急度の高い脆弱性に対しては、パッチ適用の優先度を最高レベルに設定し、可能な限り迅速な対応が推奨されます。また、パッチ適用までの間は、該当システムへのアクセス制限や監視強化などの暫定的な防護措置の実施も重要となります。