米ネットワーク機器大手シスコシステムズは、企業向け管理ソフト「Catalyst SD-WANマネージャー」に、修正プログラムのない深刻な脆弱性(ゼロデイ)が存在し、実際の攻撃に悪用されていると警告した。攻撃者に最高権限を奪われる恐れがあり、現時点で有効な回避策も公開されていない。
CVE-2026-20245、最高権限を奪取される恐れ
問題の脆弱性は「CVE-2026-20245」として追跡されている。ゼロデイとは、修正プログラムが用意される前に攻撃に使われてしまう未知・未修正の脆弱性を指す。今回の欠陥は利用者が入力するデータの検証が不十分な点に起因し、低い権限しか持たない攻撃者でも、細工したファイルを送り込むことで、システム上で「root(ルート)」と呼ばれる最高権限を奪える恐れがある。
政府向け版を含む全形態が対象、今年7件目
影響範囲は広い。オンプレミス(自社運用)型からクラウド型、さらに米政府向けの「FedRAMP」対応版まで、あらゆる導入形態が対象となる。シスコの製品セキュリティ対応チーム(PSIRT)は6月、グーグル傘下のセキュリティ企業マンディアントからの報告を受けてこの脆弱性を把握したという。同社は限定的ながら実際に悪用された事例を確認したとしており、これはシスコが2026年に確認したSD-WAN関連のゼロデイとしては7件目にあたる。
深刻なのは、この記事の時点でシスコが修正プログラムも回避策も公開していない点だ。管理者は、外部から管理システムへのアクセスを厳しく制限し、不審な挙動を監視するなど、当面は運用面での対策で身を守るしかない。ネットワークの中枢を担うSD-WAN機器が乗っ取られれば、企業内部の通信を広範に掌握される危険があり、対応の遅れは重大な被害につながりかねない。
日本への影響
シスコの機器は、日本の多くの企業や官公庁のネットワークで基幹的に使われており、今回の脆弱性は決して海の向こうの話ではありません。特にSD-WANは、本社と各拠点をインターネット経由で効率よくつなぐ仕組みとして日本でも導入が進んでおり、該当製品を使う企業の情報システム部門は、シスコの公式情報を確認し、管理画面へのアクセス制限や監視の強化を急ぐ必要があります。
近年、日本ではKDDIやアフラック日本法人など大手をめぐる情報流出が相次ぎ、企業の防御力が改めて問われています。今回のように「修正プログラムがまだない」状況では、社員一人ひとりが不審なファイルやアクセスに注意することも重要な防波堤となります。取引先や顧客の情報を預かる企業にとって、脆弱性情報を素早く入手し、経営層まで含めて迅速に判断する体制づくりが、これまで以上に強く求められます。
まとめ:守りの遅れが致命傷になりうる時代だからこそ、最新の脆弱性情報に目を配る習慣を持ちたいものではないでしょうか。
出典:
The Hacker News – Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245
BleepingComputer – New Cisco SD-WAN flaw exploited to gain root
SecurityWeek – Cisco warns of 7th SD-WAN zero-day exploited in 2026
Photo: Ian Talmacs / Unsplash


