2026年3月、サイバーセキュリティの世界に新たな警鐘が鳴り響きました。ネットワーク機器の巨人であるシスコシステムズが、同社の主力製品であるCatalyst SD-WAN Manager(旧SD-WAN vManage)に存在する二つの脆弱性、CVE-2026-20122とCVE-2026-20128が、すでに実環境で積極的に悪用されていることを確認したと発表したのです。この事態は、企業ネットワークの根幹を支えるインフラのセキュリティに対する深刻な懸念を浮き彫りにしています。
これらの脆弱性は、認証された攻撃者によって悪用される可能性があり、システムへの不正アクセスや特権昇格につながる恐れがあります。シスコは、これらの脆弱性に対するパッチを2026年2月下旬にリリースしていましたが、その後の状況から、攻撃者たちは迅速にこれらの欠陥を標的とし、攻撃を仕掛けていることが明らかになりました。この迅速な悪用は、脅威アクターがいかに最新の脆弱性情報を監視し、攻撃に転用する準備ができているかを示しています。
特に注目すべきは、シスコがこれらの脆弱性の悪用規模や背後にいる攻撃者について具体的な詳細を明らかにしていない点です。しかし、この発表は、企業がSD-WAN環境のセキュリティ対策を喫緊の課題として見直す必要性を強く示唆しています。現代の分散型ネットワークにおいて、SD-WANはビジネスの生命線であり、その管理システムが狙われることは、組織全体の運用に壊滅的な影響を及ぼしかねません。
この緊急事態を受け、シスコは顧客に対し、可能な限り速やかに修正済みのソフトウェアリリースにアップデートするよう強く推奨しています。また、未保護のネットワークからのアクセス制限、ファイアウォールによるアプライアンスの保護、Web UI管理者ポータルでのHTTP無効化、不要なネットワークサービスの停止、デフォルト管理者パスワードの変更、ログトラフィックの監視といった、多層的な防御策を講じることの重要性も強調されています。これらの対策は、悪用が確認された脆弱性だけでなく、潜在的な脅威全般に対する基本的な防御線となります。
二つの脆弱性の詳細と攻撃経路
今回、積極的に悪用が確認された脆弱性は、CVE-2026-20122とCVE-2026-20128の二つです。CVE-2026-20122はCVSSスコア7.1の「任意のファイル上書きの脆弱性」であり、認証されたリモート攻撃者がローカルファイルシステム上の任意のファイルを上書きできる可能性があります。この悪用には、攻撃者が影響を受けるシステム上でAPIアクセス権を持つ有効な読み取り専用の認証情報を持っている必要があります。これにより、攻撃者はシステムの整合性を損ない、さらなる侵入の足がかりを築くことが可能になります。
一方、CVE-2026-20128はCVSSスコア5.5の「情報開示の脆弱性」です。これは、認証されたローカル攻撃者が影響を受けるシステム上でData Collection Agent (DCA) ユーザーの特権を取得できるというものです。この脆弱性を悪用するには、攻撃者が影響を受けるシステム上で有効なvManage認証情報を持っている必要があります。Help Net Securityの報道によると、この脆弱性は、影響を受けるシステム上にDCAユーザーの認証情報ファイルが存在することに起因しており、低特権ユーザーとしてファイルシステムにアクセスし、DCAパスワードを含むファイルを読み取ることで悪用される可能性があります。これにより、攻撃者は別の影響を受けるシステムにアクセスし、DCAユーザーの特権を得ることが可能になります。
これらの脆弱性は、シスコのAdvanced Security Initiatives GroupのArthur Vidineyev氏によって発見されたとされており、同氏はこのアドバイザリでカバーされている他の3つの脆弱性も発見しています。彼の功績は、これらの潜在的な脅威が公になる前に特定されたことの重要性を示しています。しかし、発見とパッチのリリースにもかかわらず、攻撃者たちはこれらの脆弱性を迅速に悪用し始めており、パッチ適用が遅れる組織にとっては深刻なリスクとなっています。
特に、CVE-2026-20128が悪用された場合、攻撃者は低特権からDCAユーザー特権へと昇格し、ネットワーク内の他のシステムへのアクセスを拡大する可能性があります。これは、初期侵入後のラテラルムーブメントを容易にし、攻撃者がより広範なネットワーク制御を獲得するための重要なステップとなり得ます。両脆弱性ともに認証を必要とするものの、一度認証情報を取得されれば、その後の攻撃は容易に進展するでしょう。
高度な脅威アクターUAT-8616の影
今回の二つの脆弱性の悪用が確認される一週間前、シスコはCatalyst SD-WAN ControllerおよびCatalyst SD-WAN Managerの別の重大なセキュリティ欠陥、CVE-2026-20127(CVSSスコア10.0)が、UAT-8616と追跡される高度なサイバー脅威アクターによって悪用されていることを公表していました。このゼロデイ認証バイパス脆弱性は、攻撃者が高価値組織に永続的な足がかりを確立するために利用されており、その悪用活動は急速にエスカレートしていると報じられています。
CVE-2026-20127は、認証されていないリモート攻撃者が影響を受けるデバイスに認証をバイパスしてアクセスすることを可能にする、極めて危険な脆弱性です。Help Net Securityによると、この脆弱性を悪用することで、攻撃者は内部の、高特権の、非ルートユーザーアカウントとしてシスコCatalyst SD-WAN Controllerにログインし、SD-WANファブリックのネットワーク設定を操作することができました。これは、ネットワーク全体の制御を奪う可能性を秘めた、非常に深刻な事態です。
当初、The Hacker Newsの報道では、WatchTowrが観測した攻撃活動がCVE-2026-20122とCVE-2026-20128を標的としたものとされていましたが、2026年3月9日の更新で、その活動はCVE-2026-20127を標的としたものであったと明確にされました。この訂正は、複数の脆弱性が同時期に悪用されている複雑な状況と、脅威インテリジェンスの迅速な分析と情報共有の重要性を示しています。
UAT-8616のような高度な脅威アクターが、このようなクリティカルなインフラの脆弱性を狙うことは、国家レベルの支援を受けたグループや、高度な技術力を持つサイバー犯罪組織の関与を示唆しています。彼らの目的は、単なる金銭的利益だけでなく、スパイ活動、破壊工作、あるいは長期的なネットワークへの潜伏など、より戦略的なものである可能性が高いです。このような脅威アクターの存在は、企業が直面するサイバーセキュリティの脅威が、ますます高度化し、標的型になっていることを浮き彫りにしています。
攻撃の広がりと脅威インテリジェンスの警告
プロアクティブ脅威インテリジェンス企業WatchTowrの責任者であるRyan Dewhurst氏は、CVE-2026-20127を標的とした攻撃活動について、同社のプラットフォームが多数のユニークなIPアドレスからの攻撃試行を観測し、脅威アクターがウェブシェルを展開していることを確認したとThe Hacker Newsに語っています。攻撃活動の最大のピークは3月4日に発生し、世界中の様々な地域に広く拡散しましたが、特に米国を拠点とする地域でわずかに高い活動が見られました。
Dewhurst氏は、「より多くの脅威アクターが関与するにつれて、悪用の典型的なロングテールの一部として活動は続くと予想される」と述べています。これは、初期の高度な攻撃者が脆弱性を悪用した後、その情報が広まるにつれて、より広範な、しばしば機会主義的な攻撃者が追随してくるという、サイバー攻撃の一般的なパターンを示唆しています。このような状況では、露出しているシステムは、安全が証明されるまで侵害されていると見なすべきであるという厳しい警告が発せられています。
この警告は、単にパッチを適用するだけでなく、システムがすでに侵害されていないかを確認するための徹底的な調査が必要であることを意味します。ウェブシェルの展開は、攻撃者がシステムへの永続的なアクセスを確立し、リモートからコマンドを実行するための一般的な手法であり、その検出と除去は容易ではありません。攻撃が世界中に広がり、特に米国で活発であったという事実は、この脅威が特定の地域に限定されず、広範な影響を及ぼす可能性を示唆しています。
WatchTowrの観測は、リアルタイムの脅威インテリジェンスがいかに重要であるかを強調しています。攻撃の初期段階で活動を検知し、その手口を分析することで、他の組織が同様の攻撃から身を守るための貴重な情報が提供されます。しかし、同時に、パッチがリリースされても、多くのシステムが未だに脆弱な状態にあり、攻撃の窓が長く開いている現実も浮き彫りになっています。この状況は、組織がセキュリティパッチの適用を最優先事項として、迅速かつ徹底的に行う必要性を改めて示しています。
ファイアウォール製品にも及ぶ深刻な脆弱性
シスコがSD-WAN Managerの脆弱性について警告を発した同じ週、同社はSecure Firewall Management Centerにおける二つの最大深刻度(CVSSスコア10.0)のセキュリティ脆弱性、CVE-2026-20079とCVE-2026-20131に対処するためのアップデートもリリースしました。これらの脆弱性は、認証されていないリモート攻撃者が認証をバイパスし、影響を受けるデバイス上でrootとして任意のJavaコードを実行できるという、極めて危険なものです。
Help Net Securityの報道によると、CVE-2026-20079は、細工されたHTTPリクエストを影響を受けるデバイスに送信することで悪用される認証バイパスの欠陥です。一方、CVE-2026-20131は、細工されたシリアライズされたJavaオブジェクトを影響を受けるデバイスのウェブベース管理インターフェースに送信することで悪用されるリモートコード実行の脆弱性です。これらの脆弱性は、ファイアウォールというネットワークの最前線を守るはずのセキュリティ製品自体に存在するものであり、その影響は計り知れません。
さらに、シスコはSecure Firewall ASA、Secure FMC、Secure FTD Softwareにおける合計48の脆弱性を修正するアップデートも同時に公開しました。これらのほとんどは中程度の深刻度ですが、最大深刻度の二つの脆弱性と合わせて、シスコ製品の広範なセキュリティ強化が必要であることを示しています。ファイアウォール製品の脆弱性は、攻撃者がネットワーク境界を突破し、内部システムへのアクセスを確立するための直接的な経路を提供するため、特に警戒が必要です。
オランダ国家サイバーセキュリティセンター(NCSC)は、CVE-2026-20079とCVE-2026-20131について、短期間で公開されたPoC(概念実証)と大規模な悪用試行が予想されると警告し、管理者に対し、可能な限り速やかに修正済みのソフトウェアバージョンにアップグレードするよう強く促しています。この警告は、これらの脆弱性が広く悪用される可能性が高いことを示しており、企業は迅速な対応が求められます。
シスコが推奨する緊急対策と今後の課題
シスコは、Catalyst SD-WAN Managerの脆弱性に対する緊急対策として、顧客に対し、修正済みのソフトウェアリリースへの迅速なアップデートを最優先事項として推奨しています。具体的には、バージョン20.9は20.9.8.2へ、20.11は20.12.6.1へ、20.12は20.12.5.3および20.12.6.1へ、20.13、20.14、20.15は20.15.4.2へ、20.16、20.18は20.18.2.1へと移行する必要があります。これらのバージョン情報は、特定の脆弱性に対する正確なパッチ適用を保証するために不可欠です。
ソフトウェアのアップデートに加え、シスコは多層的なセキュリティ対策の実施も促しています。これには、未保護のネットワークからのアクセスを制限すること、アプライアンスをファイアウォールの背後に配置して保護すること、Catalyst SD-WAN ManagerのWeb UI管理者ポータルでHTTPを無効にすること、必要のないHTTPやFTPなどのネットワークサービスを停止すること、デフォルトの管理者パスワードを変更すること、そしてシステムへの予期せぬトラフィックを監視するためにログトラフィックを注意深く監視することが含まれます。これらの対策は、悪用された脆弱性だけでなく、一般的な攻撃経路に対する防御力を高める上で極めて重要です。
特に、認証情報を必要とする脆弱性の場合、デフォルトパスワードの変更や強固な認証メカニズムの導入は、攻撃の成功確率を大幅に低下させます。また、ネットワークサービスの最小化は、攻撃者が利用できる攻撃対象領域を縮小し、潜在的な侵入経路を減らす効果があります。ログ監視は、攻撃の兆候を早期に発見し、迅速な対応を可能にするための最後の砦となります。
今回の事件は、SD-WANのような現代のネットワークインフラが、いかに高度な攻撃者の標的となりやすいかを示しています。企業は、単に製品を導入するだけでなく、そのライフサイクル全体にわたるセキュリティ管理、特に迅速なパッチ適用と継続的な監視体制の確立が不可欠です。シスコのような大手ベンダーの製品であっても、脆弱性は常に存在し、攻撃者はそれを発見し悪用する機会を常にうかがっているという現実を認識する必要があります。
サイバーセキュリティの最前線:継続する脅威と警戒
2026年3月に明らかになった一連のシスコ製品の脆弱性悪用は、現代のサイバーセキュリティ環境が直面する厳しい現実を改めて浮き彫りにしました。Catalyst SD-WAN Managerの二つの脆弱性(CVE-2026-20122、CVE-2026-20128)が積極的に悪用されているという事実は、パッチがリリースされた後も、攻撃者たちがその情報を迅速に利用し、未パッチのシステムを標的としていることを示しています。これは、セキュリティアップデートの適用が、いかに時間との戦いであるかを物語っています。
さらに、UAT-8616という高度な脅威アクターによるCVE-2026-20127の悪用は、標的型攻撃の洗練度と、企業ネットワークの深部にまで侵入しようとする彼らの執拗な試みを浮き彫りにしています。この種の攻撃は、単なる機会主義的なスキャンとは異なり、特定の組織やインフラを狙い、高度な技術とリソースを投入して行われるため、その防御は一層困難です。
また、Secure Firewall Management Centerにおける最大深刻度の脆弱性(CVE-2026-20079、CVE-2026-20131)の存在と、それに対するNCSCからの緊急警告は、ネットワークの境界防御を担うセキュリティ製品自体が、攻撃の主要な標的となり得ることを示唆しています。ファイアウォールが突破されれば、内部ネットワークは無防備になり、甚大な被害につながる可能性があります。この状況は、セキュリティ製品の選定と運用においても、継続的な脆弱性評価と迅速な対応が不可欠であることを強調しています。
今回のシスコ製品を巡る一連の事態は、企業がサイバーセキュリティ戦略を再評価し、より強固な防御体制を構築するための警鐘と捉えるべきです。迅速なパッチ適用、多層防御の徹底、脅威インテリジェンスの活用、そして継続的な監視とインシデント対応能力の強化は、もはや選択肢ではなく、現代ビジネスにおける必須要件となっています。サイバー脅威は進化し続けるため、組織もまた、常にその一歩先を行くための努力を怠ってはなりません。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Cisco Confirms Active Exploitation of Two Catalyst SD-WAN Manager Vulnerabilities - https://thehackernews.com/2026/03/cisco-confirms-active-exploitation-of.html
- -Cisco warns of SD-WAN Manager exploitation, fixes 48 firewall vulnerabilities - https://www.helpnetsecurity.com/2026/03/05/cisco-cve-2026-20128-cve-2026-20122-exploited/