サイバーセキュリティ📖 1分で読了

Cisco SD-WAN脆弱性CVE-2026-20127──CVSS10.0の衝撃3年間潜伏のゼロデイにCISA緊急指令、今すぐ確認を

Cisco SD-WAN脆弱性CVE-2026-20127──CVSS10.0の衝撃

Cisco SD-WANの認証バイパス脆弱性CVE-2026-20127がCVSS 10.0で発覚。3年間ゼロデイ悪用されCISA緊急指令が発出。影響確認とパッチ適用の具体的手順を解説します。

💡 今すぐ相談したい方へ|30分の無料相談で現状整理をお手伝いします

相談してみる

Cisco SD-WANに最大深刻度の脆弱性──CISAが異例の24時間対応を命令

Cisco Catalyst SD-WAN Controller/Managerの認証バイパス脆弱性「CVE-2026-20127」がCVSS 10.0(最大深刻度)と評価され、2023年から約3年間にわたりゼロデイとして悪用されていたことが判明しました。米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は緊急指令ED 26-03を発出し、連邦機関に対して通常の2週間ではなく24時間以内という異例の短期限でのパッチ適用を命じています。BleepingComputerの報道によると、SD-WANを導入している企業は影響範囲の即時確認が求められます。

3年間検知されなかった攻撃手法の詳細

今回の脆弱性を発見したのは豪州サイバーセキュリティセンター(ASD ACSC)で、Cisco Talosと連携して2月26日に詳細を公開しました。攻撃者として特定された脅威アクター「UAT-8616」は、SD-WANの管理・制御プレーンに不正なローグピアを追加することで、ネットワーク管理システム上で信頼されたピアとして活動していました。

さらに深刻なのは、この脆弱性が過去の権限昇格脆弱性「CVE-2022-20775」と連鎖して悪用されていた点です。攻撃者は認証バイパス後にroot権限を取得し、完全なシステム制御を実現していました。CISA・NSA・カナダ・ニュージーランド・英国NCSCの5カ国が共同で41ページの脅威ハンティングガイドを公開したことからも、この脆弱性の深刻さがうかがえます。CISAはCVE-2026-20127とCVE-2022-20775の両方を「既知の悪用された脆弱性カタログ(KEV)」に追加しており、回避策は存在せずパッチ適用が唯一の修正手段となっています。

ネットワークエッジデバイスへの攻撃が加速する背景

ここまで読んで
「うちも同じだ」と思った方へ

課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

今回のCisco SD-WAN脆弱性は、ネットワークエッジデバイスを狙った攻撃が急速にエスカレートしている流れの中で発生しています。2月22日にはFortiGate約600台への攻撃が報告され、2月26日にはFileZenがKEVに追加されました。そして2月27日のCisco SD-WANのCVSS 10.0という最大深刻度の脆弱性公開と、わずか1週間で重大インシデントが連続しています。

SD-WANは日本企業でも急速に導入が進んでおり、リモートワーク環境の整備やクラウドサービスへの接続最適化のために採用する企業が増えています。しかし、その管理インターフェースがインターネットに露出している場合、今回のような認証バイパス脆弱性の標的となるリスクが高まります。UAT-8616は「高度に洗練されたサイバー脅威アクター」と評価されており、重要インフラセクターを主な標的としていることから、製造業・エネルギー・金融などの業種は特に警戒が必要です。

今すぐ確認すべき5つのアクション

この脆弱性に対応するため、企業が今すぐ実施すべきことがあります。

まず、自社でCisco SD-WANを利用しているかどうかを即時確認してください。Cisco Catalyst SD-WAN Controller/Managerが対象となるため、IT部門やベンダーに確認を取ることが第一歩です。次に、Ciscoが公開したセキュリティアドバイザリを確認し、該当バージョンであればパッチを適用してください。回避策は存在しないため、パッチ適用が唯一の対策となります。

続いて、5カ国共同で公開された41ページのハンティングガイドに基づき、侵害調査を実施することを推奨します。具体的な侵害の兆候(IoC)としては、不明なIPアドレスからのSSH認証、ユーザーアカウントの不正な作成・削除、予期しないrootログイン、ログファイルの異常な縮小、ソフトウェアのダウングレードと再起動などが挙げられます。これらの痕跡がないか、ログを精査してください。また、SD-WANの管理インターフェースがインターネットに露出している場合は即時遮断を検討すべきです。最後に、今回の脆弱性を契機に、他のネットワークエッジデバイス(FortiGate、FileZenなど)のセキュリティ状況も併せて点検することをお勧めします。

まとめ

Cisco SD-WANのCVSS 10.0脆弱性は、3年間にわたりゼロデイとして悪用されていた極めて深刻な事案です。CISAの24時間以内という異例の対応期限が示すように、該当企業は最優先で対応する必要があります。ネットワークエッジデバイスへの攻撃が加速する中、継続的なセキュリティ監視体制の構築が急務となっています。

脆弱性対応や侵害調査にお困りの際は、180社以上の支援実績を持つGXOにご相談ください。SIEM/SOAR、SOC運用、インシデント対応まで、セキュリティの課題を一気通貫でサポートいたします。

セキュリティに関するご相談はこちら

「やりたいこと」はあるのに、
進め方がわからない?

DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

こちらの記事もおすすめ

同じカテゴリAndroidにバックドア混入──日本も被害上位国に

Androidにバックドア混入──日本も被害上位国に

2026年2月20日 · 1分で読了

同じカテゴリChromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

Chromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

2026年2月17日 · 1分で読了

同じカテゴリ【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

2025年12月10日 · 2分で読了