CISA KEV 日本語ダッシュボード|攻撃中の脆弱性カタログを全件検索
米CISAが公開する『実際に攻撃に使われている脆弱性カタログ(KEV)』全1,603件を、日本語UIで検索・ベンダー絞込・国内シェアフィルタ・ランサム関連抽出で閲覧できる無料ダッシュボードです。ブラウザだけで完結、アカウント登録不要。各CVEはNVDと本サイト解説記事に深リンクします。
堀川 慎
Backend Engineer / AWS / Django
米CISAが公開する『実際に攻撃に使われている脆弱性カタログ(KEV)』全1,603件を、日本語UIで検索・ベンダー絞込・国内シェアフィルタ・ランサム関連抽出で閲覧できる無料ダッシュボードです。ブラウザだけで完結、アカウント登録不要。各CVEはNVDと本サイト解説記事に深リンクします。
米CISAが公開する「攻撃に使われている脆弱性」カタログを日本語で全件検索できるダッシュボードを作った
米国のサイバーセキュリティ・社会基盤安全保障庁(CISA)は、実際に攻撃に使われていることが確認された脆弱性だけを集めた KEV(Known Exploited Vulnerabilities)カタログを毎日更新で公開しています。本日時点で1,603件。先日のLiteSpeed cPanel脆弱性も、Chrome WebGPUのゼロデイも、登録された瞬間にここに並びます。
問題は、CISAのサイトが英語の表組みで、ベンダーや製品で絞り込みづらく、「日本でよく使われている製品にどれが該当するか」が見えないことです。日本語UIで全件を引いて、ベンダー・追加日・ランサム関連・国内シェア上位ベンダーでフィルタできるダッシュボードを作りました。ブラウザだけで完結、アカウント登録もインストールも不要です。
本記事では、まず下のダッシュボード本体を触ってもらい、続けて「そもそもKEVとは何か」「なぜ日本語が必要だったか」「裏側の仕組み」「このツールでも見えないこと」の順で説明します。
CISA KEV 日本語ダッシュボード
データソース: cisagov/kev-data(CISA公式のGitHubミラー、米国連邦政府著作物)/取得はブラウザ側で1日1回程度を目安に、ETag一致時は再ダウンロードしません。
そもそも何をやっているのか——出てきた用語のおさらい
ダッシュボードの結果に出てくるCVE、KEV、NVD、CWE、BOD 22-01といった用語が初見の方向けに、この記事に出てくる主な用語を一段下のレベルで整理しておきます。普段からKEVを業務で使っているCSIRT/SOC/SREの方は、この節は読み飛ばしても問題ありません。
| 用語 | ひとことで | もう一段詳しく |
|---|---|---|
| CISA | 米国の サイバーセキュリティ政府機関 | Cybersecurity and Infrastructure Security Agency。 国土安全保障省(DHS)配下。 政府機関のサイバー防衛と 民間への情報共有を担当 |
| KEV | 実際に攻撃に使われている 脆弱性のカタログ | Known Exploited Vulnerabilities。 「机上で危険」ではなく 「現実の攻撃で観測された」ものだけを CISAが選別して登録する |
| CVE | 世界共通の 「脆弱性の通し番号」 | Common Vulnerabilities and Exposures。 例: CVE-2026-8832。米MITRE社が中心となり全世界で運用 |
| NVD | 米政府が運営する 脆弱性データベース | National Vulnerability Database。 各CVEに重大度スコア(CVSS)や 影響を受ける製品リストを補強する |
| CWE | 脆弱性の「型」分類 | Common Weakness Enumeration。 例: CWE-79(XSS)、CWE-89(SQLインジェクション)。原因系で並べたい時の鍵 |
| dueDate | 米連邦機関の 修正期限 | KEVに登録された脆弱性ごとに CISAが設定する是正期限。 米連邦政府機関は法的義務。 日本企業に直接の強制力はないが 「世界の管理者が動く日」 |
| BOD 22-01 | KEVの根拠となった 米国の拘束的指令 | Binding Operational Directive 22-01。 「攻撃に使われた脆弱性は期限内に直せ」 と米連邦機関に命じた指令。 これに基づいてKEVが運用される |
| ランサム関連 | 身代金型攻撃で 使われた実績 | CISAが knownRansomwareCampaignUseフラグで管理。 本日時点で KEV 1,603件中 323件 |
| 0day (ゼロデイ) | パッチが出る前に 攻撃に使われた脆弱性 | KEV登録の起点になりやすい。 本サイトのChromeゼロデイ記事や Laravel Livewire記事も 0day → 数日でKEV入りの流れ |
大雑把に言えば、KEVは「世界中の攻撃ログをCISAが集約して、観測実績のある脆弱性だけを抜粋した名簿」です。米連邦機関は期限内の修正が義務、その他の組織は「世界の防衛側が今どこを優先しているか」を読み取る指標として使います。
なぜ日本語ダッシュボードが必要だったか
CISAの公式ページは英語の表組みで、追加日順に並んでいるだけです。実務で必要なのはここから先の絞り込みです。
- ▸ 「自社で使っているベンダーだけ」見たい。1,603件の全件を読むのは現実的でない
- ▸ ランサム関連だけ抜粋したい。経営層への報告は「身代金型に使われた」事実があると話が早い
- ▸ 日本国内で広く使われている製品を強調したい。米国市場向けに作られた一覧は、Cybozu や Fujitsu のような国内独自ベンダーが埋もれる
- ▸ 期限超過のものを切り分けたい。CISAの是正期限を過ぎても放置されている脆弱性は、攻撃面に長く晒されている
どれも英語の公式ページを目で追って手作業で抽出する作業で、CSIRT・SOC・情シス・SREの実務でじわじわ時間を奪います。日本語UI+フィルタを揃えたダッシュボードでまとめて1画面で扱えるようにしました。
既存ツールとの違いも書いておきます。vulncheck や商用脆弱性管理ツールはKEVを取り込んだ機能を持っていますが、有償・アカウント登録・社内導入承認のハードルがあります。本ダッシュボードは「貼って即見たい」「個人で確認したい」のレベルにフィットさせています。
裏側の仕組み——CISA公式ミラーをブラウザで直接引く
このダッシュボードにもサーバーはありません。HTMLとJavaScriptだけで構成されており、KEVの全件JSONをCISA公式のGitHubミラーから直接取得して、ブラウザ側でフィルタ・並び替え・件数表示までを処理しています。
| ステップ | 処理内容 | 使っているもの |
|---|---|---|
| (1) データ取得 | GitHubミラーから全件JSON(1.5MB)を fetch、ETagを localStorage に保持 | fetch API |
| (2) 永続キャッシュ | 取得した1,603件を IndexedDB に保存、 次回以降は ETag が変わるまで再取得しない | IndexedDB |
| (3) フィルタ | 全文検索 / ベンダー / 期限 / ランサム / 国内シェアの組み合わせを クライアント側で処理 | vanilla JS |
| (4) 国内辞書 | 国内独自ベンダー+ 国内シェア上位ベンダーの 手動メンテ辞書と照合 | JS ハードコード辞書 |
気をつけた点が2つあります。ひとつはCORS。CISA本家の cisa.gov/sites/.../known_exploited_vulnerabilities.json はブラウザからの直接fetchで Access-Control-Allow-Origin ヘッダを返してくれません。本ツールは同じデータをCISA本体(github.com/cisagov)が運営するGitHubミラーから取得しており、こちらは access-control-allow-origin: * を返すためブラウザfetchが通ります。データの整合性は catalogVersion と dateReleased で本家と一致することを確認しました。
もうひとつは初回ダウンロードの重さ。1.5MBの一括取得は1回だけ我慢してもらい、2回目以降は IndexedDB のキャッシュを使います。ETagを保存しておき、次回起動時に If-None-Match ヘッダで再確認、変更がなければキャッシュからそのまま読み込みます。KEVは1日数件追加のペースなので、頻繁な再ダウンロードは要りません。
「国内独自ベンダー」「国内シェア上位」の判定は、自前の辞書(JSコード内のハードコード)で行っています。KEVが米国攻撃事例を起点としている性質上、CybozuやFujitsuといった国内独自ベンダーの登録は少ないのですが、Microsoft・Apple・Cisco・Adobe・Googleなど国内利用率の高い海外ベンダーは大量にヒットします。両方のフィルタを切り替えられるようにしました。
各フィルタの細かい挙動
テキスト検索
CVE番号・ベンダー名・製品名・脆弱性名・説明文・追加コメントの全フィールドを対象に部分一致で検索します。大文字小文字は区別しません。複数キーワードはスペース区切りで AND 検索(例: Cisco router)。
ベンダー絞込
KEV 全件から実在するベンダー名(vendorProject)を自動で抽出してドロップダウンに並べます。本日時点で約120ベンダー。よく出るのは Microsoft(377件)、Apple(93件)、Cisco(90件)、Adobe(79件)、Google(71件)、Oracle(42件)あたりです。
国内独自ベンダー / 国内シェア上位ベンダー
2層になっています。
- ▸ 国内独自: Cybozu / Fujitsu / NEC / Nintendo / Panasonic / Sony / Canon / Trend Micro / Ricoh / Hitachi / Toshiba / Brother / Sharp / Epson / Buffalo / I-O DATA / ELECOM / JustSystems / Yamaha / SoftBank / Rakuten / IIJ / Bandai Namco / Konica Minolta(完全一致、25社)
- ▸ 国内シェア上位: Microsoft / Apple / Cisco / Google / Adobe / Oracle / VMware / Fortinet / F5 / Citrix / Atlassian / Apache / Linux / Synology / QNAP / Ivanti / Palo Alto Networks / SonicWall / TP-Link / D-Link / Zoho / PostgreSQL / WordPress(完全一致、23社)
辞書はJSハードコードで、手動メンテです。「これも入れて欲しい」というベンダーがあれば、本記事のコメントから教えてください。
ランサム関連 / 期限超過
ランサム関連は、CISAが knownRansomwareCampaignUse を Known として登録した脆弱性だけを表示します。期限超過は dueDate が今日より古いものを抜粋します。米連邦機関を念頭にした期限ですが、「世界の管理者が動く日が過ぎている」目安として有用です。
このダッシュボードでわからないこと
使いどころを誤ると過信に繋がるので、見えていない範囲を先に並べておきます。
- ? 未公開・未観測の脆弱性は出ません。KEVは「攻撃に使われた」確認後に登録されます。ゼロデイの瞬間は無防備です
- ? 登録の遅延があります。CISAが情報収集から登録まで数日〜数週間かかることが普通です。KEVに無いから安全、ではありません
- ? 国内独自ベンダーの捕捉率は低めです。KEVは米国攻撃事例ベースの選別で、Cybozu や Fujitsu のような国内独自製品は登録されにくい傾向があります。JPCERT/CC・IPAの注意喚起と併用してください
- ? 影響範囲の詳細はNVDを別途参照する必要があります。KEVは「攻撃された」事実が中心で、CVSSスコア・影響を受けるバージョン詳細はNVD側にあります。各行のCVE番号からNVDへリンクしてあります
- ? 自社環境の保有資産との突合は別作業です。「該当した脆弱性が自社の実機に存在するか」は資産管理台帳との突合が必要です。本ツールはあくまでカタログ閲覧の効率化です
本サイトの過去CVE速報とKEVの紐付け
本サイトで追ってきた直近のCVE速報のうち、KEV登録に至った事例を整理しておきます。「速報の時点でKEV入り済み」と「速報を出した直後にKEV入り」の両パターンがあります。
| 時期 | 事件 | CVE | 関連記事 |
|---|---|---|---|
| 2026-05 | LiteSpeed cPanelプラグイン | CVE-2026-48172 | LiteSpeed記事 |
| 2026-05 | Drupal 認証なし乗っ取り | CVE-2026-9082 | Drupal記事 |
| 2026-04 | Chrome WebGPU ゼロデイ | CVE-2026-5281 | Chrome記事 |
| 2026-04 | Laravel Livewire 国家ハッカー悪用 | CVE記事内に記載 | Laravel記事 |
| 2025-12 | F5 BIG-IP CISA期限後 | CVE-2025-53521 | F5記事 |
関連して、依存ライブラリ起点のサプライチェーン攻撃も合わせて確認できます。OSSサプライチェーン汚染スキャナーと組み合わせて使うと、自分のプロジェクトに紐づく脆弱性(攻め)と、世界の攻撃中脆弱性カタログ(守り)の両面が見渡せます。
追加してほしい機能・要望
現状の優先実装は本記事のスコープまでです。次の更新で検討しているのは以下です。
- ▸ 絞込条件付きのRSS出力(CSIRT・SOCのフィードリーダーで購読できる形)
- ▸ ブラウザPush通知(新規KEV登録があった時に通知)
- ▸ 本サイトの既存CVE速報28本に「現在KEV登録中」の動的バッジを貼る機能
- ▸ 国内独自ベンダー辞書の半自動更新(JPCERT/CC・IPA・JVN等の和文ソースと突合)
必要そうなものがあれば、本記事のコメントやお問い合わせから教えてもらえると、優先度を組み替えます。
参照元・ライセンス
- • KEVカタログ: CISA Known Exploited Vulnerabilities Catalog(米連邦政府著作物・U.S. Government Works)
- • GitHubミラー: cisagov/kev-data(CISA公式・CORS対応)
- • BOD 22-01: CISA Binding Operational Directive 22-01
- • NVD連携: National Vulnerability Database(米NIST運営)
- • 関連の和文情報源: JPCERT/CC、IPA、JVN
KEVカタログは米連邦政府著作物として著作権保護の対象外ですが、運営はCISAが行っています。本ダッシュボードはCISA・米国政府の提供サービスではなく、本サイトが独立して提供する閲覧クライアントです。
本ダッシュボードと連動する CVE 速報記事
以下の記事で取り上げた CVE は、本ダッシュボードで登録状況を確認できます。
- axiosにマルウェア混入、週間1億DLのnpmパッケージにRAT
- Chromeゼロデイ攻撃中、業務PCは今すぐ更新を。2026年4件目
- 【緊急】世界のWi-Fiルータの土台「dnsmasq」に脆弱性6件、機器乗っ取りの恐れ
- Drupalサイトに認証不要の乗っ取り脆弱性、米政府が5月27日までの修正を命令
- F5 BIG-IPの乗っ取り脆弱性、期限後の攻撃事例と恒久対策【CVE-2025-53521】
- GitHubのコードに「見えないマルウェア」が仕込まれている―GlassWorm攻撃の手口と対策
- GUARDIANWALLを使う会社はいま確認を、攻撃すでに進行中
- IBM 2026年5月の脆弱性まとめ:WebSphere RCE と ELM 認可バイパスが中心
- Mac人気動画プレイヤーIINAに重大脆弱性、不正リンクで乗っ取りの恐れ
- Langflowに重大欠陥、Webページを開くだけでAIエージェント乗っ取りの恐れ
- 「curl 1発で乗っ取れる」AIツールLangflowの致命的な穴、公開20時間で攻撃が始まった
- Linuxの『古い配管』が破裂し始めた起点 ― Copy Fail(CVE-2026-31431)の全貌
- Linuxの『古い配管』、3週間で3度目の同時破裂。サーバー乗っ取り連鎖
- LiteLLM攻撃を外から追跡する。.pthファイルの「見えない自動実行」を検証した
- 「Pythonを起動するだけで感染」月間9500万DLのLiteLLMが乗っ取られた
- cPanel用LiteSpeedプラグインに最悪脆弱性、攻撃中。サーバ丸ごと乗っ取り(CVE-2026-48172)
- NEC Atermの人気Wi-Fiルーター9機種に新たな脆弱性、3月の大型修正に続く第2弾
- NGINX Rift CVE-2026-42945:影響範囲・確認手順・暫定回避策
- 【緊急】SGLangに脆弱性4件、悪意あるAIモデルでサーバ乗っ取りの恐れ
- SharePointの期限は明日、Ciscoは認証不要で乗っ取り可能―2つの緊急CVEまとめ
- 【衝撃】Trivyから始まった連鎖攻撃、10日で4つのOSSが陥落した
- 【続報】Telnyx PyPI侵害、WAVファイルにマルウェアを隠すTeamPCPの新手口
- Apex Oneに重大脆弱性、管理画面が乗っ取られ全社PCに侵入の恐れ
- セキュリティツール「Trivy」が3度ハッキングされた―守る側のツールが破られたらどうすればいいのか
- UniFi機器に最高クラスの脆弱性5件、認証なしで社内通信が筒抜けに
- WordPress『WPCode』に編集者権限から任意コード実行の脆弱性 CVE-2026-8832、300万サイトはv2.3.6へ即更新を