title: "Cisco Unified CMのSSRF脆弱性CVE-2026-20230がKEV入り——IP電話/UC基盤を持つ企業がいま判断すべきこと" slug: "cisco-cucm-ssrf-cve-2026-20230-kev-20260629" description: "Cisco Unified Communications ManagerのSSRF脆弱性CVE-2026-20230がCISAのKEVに追加され、悪用が報告された。WebDialer有効時に成立しroot昇格まで至りうる本件で、社内UC基盤を持つ日本企業がパッチ優先度と曝露範囲をどう判断すべきかを整理する。" lead_summary: "CVE-2026-20230はCisco Unified CM/SMEのSSRF脆弱性で、WebDialer有効時に未認証の攻撃者がファイル書き込みからroot昇格に至りうる。CISAは2026年6月25日にKEVへ追加、連邦機関の対応期限は6月28日。本記事は社内IP電話/UC基盤の運用者がパッチ優先度と曝露を切り分けるための実務判断をまとめる。" date: "2026-06-29" updatedAt: "2026-06-29" category: "セキュリティ" tags: ["GXOトレンド", "脆弱性管理", "KEV", "Cisco", "ユニファイドコミュニケーション", "SSRF", "パッチ管理"] author: "GXO株式会社"
Cisco Unified CMのSSRF脆弱性CVE-2026-20230がKEV入り——IP電話/UC基盤を持つ企業がいま判断すべきこと
結論から言えば、自社で Cisco Unified Communications Manager(Unified CM)または Unified CM Session Management Edition(SME)を運用していて、かつ WebDialer サービスを有効にしているなら、CVE-2026-20230 のパッチ適用は「今週の優先タスク」に格上げすべきです。理由はひとつ——この脆弱性は CISA の Known Exploited Vulnerabilities(KEV)カタログに2026年6月25日付で追加され、米連邦民間行政機関への対応期限が6月28日に設定されたためです(CISA KEV追加アラート, 2026-06-25)。KEV入りは「理論上危ない」ではなく「実際に攻撃が観測された」という運用シグナルであり、CVSSスコアの数字以上にパッチ優先度を引き上げる根拠になります。
この脆弱性の要点
CVE-2026-20230 は Unified CM / SME に存在するサーバサイドリクエストフォージェリ(SSRF)です。Ciscoの公式アドバイザリ(cisco-sa-cucm-ssrf-cXPnHcW)によると、特定のHTTPリクエストに対する入力検証の不備が原因で、未認証かつリモートの攻撃者が悪用できます。攻撃が成立すると、基盤OS上にファイルを書き込み、それを足がかりに root へ権限昇格しうる、と説明されています。CVSSは8.6ですが、Ciscoはroot昇格に至りうる点を重く見て、Security Impact Rating(SIR)をスコアが示す「High」ではなく「Critical」と位置づけています。回避策(ワークアラウンド)は提供されておらず、対処はパッチ適用に一本化されます。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-20230 |
| 影響製品 | Cisco Unified CM / Unified CM SME |
| 種別 | SSRF(→ファイル書込→root昇格の可能性) |
| CVSS | 8.6(SIRはCritical) |
| 成立条件 | WebDialerサービスが有効であること(既定は無効) |
| 回避策 | なし(パッチ適用が必須) |
| KEV追加日 | 2026年6月25日 |
| 連邦機関の対応期限 | 2026年6月28日(BOD 26-04) |
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
なぜ今この記事を読むべきか——時系列が物語る切迫度
Ciscoがアドバイザリを公開したのは2026年6月3日で、その時点では実際の悪用は確認されていませんでした。状況が変わったのは、ファイル書き込みから root への到達経路を示す概念実証(PoC)コードが公開された後です。脅威検知を手がける Defused は6月21〜22日の週末から実際の悪用を観測したと報告し、攻撃者が「任意のテキストファイルを書き込む」挙動を確認したとされています(BleepingComputer, 2026-06-26)。複数のセキュリティメディアもこの時期の in-the-wild 悪用を報じており(The Hacker News, 2026-06)、これを受けてCISAがKEV追加と短期の対応期限設定に踏み切った、という流れです。つまり「公開→PoC→悪用→KEV」という典型的な悪用加速のサイクルが、わずか3週間で一巡しました。連邦機関の期限は過ぎていますが、日本の民間企業にとっても「悪用が現実化した今こそ対処すべき」という意味は変わりません。
誰が読むべきか
- 社内のIP電話・Web会議・コールセンターを Cisco Unified CM で支えている情報システム部門
- UC(ユニファイドコミュニケーション)基盤やVoIPインフラの運用・保守を担うインフラ運用チーム
- KEV連動でパッチ優先度を判断する立場にあるCISO・セキュリティ責任者
- Click-to-Call(クリックで発信)機能を業務系システムから提供している部門
逆に、Unified CM を使っていない、あるいは使っていても WebDialer を無効のまま運用している組織は、本件の即時リスクは相対的に低くなります。ただし「無効のはず」を実機で確認することが前提です。
自社の曝露を切り分ける実務チェック
成立条件は WebDialer サービスが有効であることです。既定では無効ですが、Click-to-Call用途で過去に有効化したまま放置されているケースは珍しくありません。以下の順で確認してください。
- 自社の Unified CM / SME のバージョンが、Ciscoアドバイザリ記載の修正済みリリースに達しているかを照合する。
- WebDialerサービスの有効/無効を管理コンソールで実機確認する(「無効と思っていた」を実測で潰す)。
- WebDialerが有効なら、修正リリースへのアップグレード計画を最優先で立てる。回避策はないため、無効化が業務上可能かも併せて検討する。
- Unified CM の管理インターフェースやWebDialerの待受ポートが、不要にインターネットや広い社内セグメントへ露出していないかをネットワーク側で確認する。
- 悪用済みを疑う場合は、OS上に身に覚えのないファイルが書き込まれていないか、不審なHTTPリクエストのログが残っていないかを点検する。
これらの棚卸しを継続的なプロセスとして回せていない場合は、外部の脆弱性診断で資産・バージョン・露出面を可視化し、判断材料をそろえるのが近道です。
KEVを「点」で終わらせないために
今回のように、ある製品のKEV入りに都度反応していると、対応は常に後手に回ります。KEVカタログの更新を継続的に監視し、自社資産と突き合わせ、悪用確認済みの脆弱性から優先的に塞ぐ——この運用を内製で回しきれないなら、KEV連動のパッチ運用を支えるセキュリティ顧問の活用が現実解になります。万一すでに侵害の兆候がある場合は、初動を誤らないためにインシデント対応の体制確保が先決です。自社のUC基盤を含むセキュリティ全体の現在地を素早く把握したいなら、セキュリティ対策の全体像から着手するのも有効です。
よくある質問
Q. WebDialerを無効にしていれば安全ですか。 A. アドバイザリ上、悪用にはWebDialerの有効化が必要とされています。無効であれば本件の即時リスクは下がりますが、「無効である」ことを実機で確認することが前提です。設定が意図せず有効化されている可能性を排除してください。
Q. パッチをすぐ当てられません。回避策はありますか。 A. Ciscoはワークアラウンドを提供していません。修正リリースへのアップグレードが唯一の恒久対処です。短期的には、業務影響を確認のうえでWebDialerの無効化や管理面の露出制限を検討します。
Q. CVSSは8.6で「Critical未満」に見えますが、優先度は高いのですか。 A. 高いです。CiscoはSIRをCriticalと判定しており、加えてCISAがKEVへ追加し悪用が報告されています。スコアの数値より「悪用確認済み」という事実を優先判断材料にしてください。
GXOに相談すべきとき
「Cisco製品をどこで何台動かしているか即答できない」「WebDialerの有効状態を実機で確認する手が足りない」「KEVが出るたびに場当たり対応になっている」——こうした状態に心当たりがあるなら、自社のUC/ネットワーク資産の棚卸しとパッチ優先度設計を一度外部の目で整えることをおすすめします。GXOは脆弱性診断によるリスクの可視化から、KEV連動のパッチ運用を継続的に支える顧問契約、侵害時のインシデント対応まで一気通貫で支援します。お問い合わせから、自社環境を前提とした初期相談を承ります。
出典
- Cisco Security Advisory: Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability(cisco-sa-cucm-ssrf-cXPnHcW)(公開 2026-06-03)
- CISA: CISA Adds Two Known Exploited Vulnerabilities to Catalog(2026-06-25)
- BleepingComputer: CISA sets urgent deadline to fix Cisco flaw exploited in attacks(2026-06-26)
- The Hacker News: Cisco Unified CM Flaw Exploited After PoC Reveals File-Write Path to Root(2026-06)
