CISA、Citrix NetScalerの脆弱性CVE-2026-3055を緊急パッチ命令——「CitrixBleed」類似の深刻度

CISA、Citrix NetScaler脆弱性の緊急パッチを連邦機関に命令

米国のサイバーセキュリティ・インフラセキュリティ庁（CISA: Cybersecurity and Infrastructure Security Agency）は、積極的に悪用されているCitrix NetScalerアプライアンスの脆弱性（CVE-2026-3055）に対し、連邦政府機関に対して2026年4月2日（木）までにパッチを適用するよう命令した。

「CitrixBleed」に酷似した新たな脆弱性

Citrixは3月23日にセキュリティアップデートをリリースしたが、複数のサイバーセキュリティ企業がCVE-2026-3055について、過去に広く悪用された「CitrixBleed」および「CitrixBleed2」との技術的類似性を指摘しており、悪用リスクが高いと警告している。

この脆弱性の根本原因は不十分な入力検証にある。認証なしのリモート攻撃者が、SAML IDプロバイダー（IDP）として構成されたCitrix ADCまたはCitrix Gatewayアプライアンスから機密情報を窃取できる。

Citrixがパッチをリリースしてからわずか数日後、セキュリティ企業のWatchtowrはすでに野外での悪用を確認。攻撃者がこの脆弱性を利用して管理者の認証セッションIDを窃取し、未パッチのNetScalerアプライアンスを完全に乗っ取れる可能性があると警告した。

約3万台のNetScalerがインターネット上に露出

Shadowserverの調査によると、現在インターネット上に公開されているNetScaler ADCアプライアンスは約3万台、NetScaler Gatewayは2,300台以上に上る。ただし、脆弱な構成を持つものや未パッチのものがどれだけあるかは不明だ。

KEVカタログへの追加とBOD 22-01に基づく緊急命令

CISAは月曜日にCVE-2026-3055を既知悪用脆弱性（KEV: Known Exploited Vulnerabilities）カタログに追加し、拘束的運用指令（BOD: Binding Operational Directive）22-01に基づき、連邦文民行政府（FCEB）機関に対して4月2日までの対応を義務付けた。

CISAは「この種の脆弱性は悪意あるサイバー攻撃者にとって頻繁な攻撃ベクターであり、連邦政府全体に重大なリスクをもたらす」と警告し、ベンダーの指示に従ったパッチ適用、またはパッチが利用できない場合は製品の使用停止を勧告している。

BOD 22-01は米国連邦機関のみに適用されるが、CISAは民間企業を含むすべての組織に対しても、CVE-2026-3055のパッチ適用を優先するよう強く促している。

Citrix脆弱性の深刻な悪用履歴

Citrixに関連する脆弱性の悪用は今に始まったことではない。2023年10月にパッチが適用された「CitrixBleed」は、ゼロデイとして複数のハッキンググループに悪用され、Boeing（ボーイング）などの大手テック企業や政府機関への侵害につながった。2025年8月にはCitrixBleed2の悪用が確認され、連邦機関はわずか1日でシステムの保護を求められた。

これまでにCISAがCitrix製品の脆弱性を野外での悪用として認定したのは合計23件にのぼり、そのうち6件はランサムウェア攻撃に使用されている。

Citrix NetScalerを利用している日本企業・組織においても、早急なパッチ適用が推奨される。SAMLのIDP構成を持つアプライアンスは特に優先的に確認すべき対象となる。

元記事: CISA orders feds to patch actively exploited Citrix flaw by Thursday