2026年5〜6月にかけて、Ciscoのネットワーク機器・管理基盤で深刻な脆弱性が相次いで公表され、その一部は実際に悪用(in the wild)されています。特にSD-WANの管理プレーン(Catalyst SD-WAN Manager/Controller)が標的になっている点が今期最大のトピックです。JPCERT/CCも週次レポートで「複数のCisco製品に脆弱性」として注意を促しています。該当製品を使う組織は、CVSSスコアの高低だけでなく「悪用されているか」「インターネットに露出していないか」を軸に、優先順位をつけて対応する必要があります。
この記事でわかること
- 2026年6月時点でCiscoが公表した主な深刻脆弱性
- 特に急ぐべき「悪用確認済み・KEV登録」の脆弱性
- 影響範囲と推奨される対応
- ネットワーク機器のパッチ運用で情シスが押さえるべき勘所
主な脆弱性の一覧
Cisco公式アドバイザリやNVD、CISA KEVで確認できた、直近の主な脆弱性は次のとおりです。
| CVE | 製品 | CVSS | 種類 | 状況 |
|---|---|---|---|---|
| CVE-2026-20262 | Catalyst SD-WAN Manager | 6.5 | パストラバーサル/任意ファイル作成・上書き | 悪用確認・CISA KEV登録 |
| CVE-2026-20182 | Catalyst SD-WAN Controller/Manager/Validator | 10.0 | 認証回避 | 限定的な悪用を報告 |
| CVE-2026-20223 | Secure Workload | 10.0 | 認証欠如によるAPI不正アクセス | 悪用未確認・回避策なし |
| CVE-2026-20131 | Secure Firewall Management Center (FMC) | 10.0 | 安全でない逆シリアル化によるRCE | 悪用試行の報告あり |
| CVE-2026-20230 | Unified Communications Manager | 8.6 | SSRF | PoC公開・悪用未確認 |
特に急ぐべきもの:CVE-2026-20262
6月の最優先案件は、Catalyst SD-WAN ManagerのCVE-2026-20262です。CVSSは6.5(Medium)と中程度ですが、実際に悪用が確認され、CISAが2026年6月15日にKEVカタログへ登録しました。連邦機関に対する是正期限は2026年6月29日とされています。認証済みかつ書き込み権限を持つ攻撃者が、ファイルアップロード時の入力検証不備を突いてOS上に任意ファイルを作成・上書きし、最終的にシステム侵害へ至り得るもので、回避策はなく更新が唯一の解です。
この事例は、「CVSSスコアが中程度でも、悪用されていれば最優先」という判断軸の重要性を象徴しています。一方、CVSS 10.0の認証回避(CVE-2026-20182)はインターネットに露出したSD-WAN基盤で特に危険であり、こちらも限定的な悪用が報告されています。スコアの高い順に淡々と消化するのではなく、「悪用」「露出」を掛け合わせて判断することが求められます。
2025年からの継続脅威:ASA/FTD
新規公表ではありませんが、2025年から続くCisco ASA/FTDのゼロデイ(CVE-2025-20333/CVE-2025-20362、いわゆるArcaneDoor関連)も、2026年の継続脅威として警戒対象です。CISAの緊急指令ED 25-03の対象で、修正版へ更新しても攻撃者の持続化機構が残存し得るとCISAが警告しています。該当機器では、更新に加えて侵害有無のフォレンジック確認が必要です。
情シス・ネットワーク管理者はどうすべきか
境界機器やVPN機器は、社外からアクセスできる「入口」であるがゆえに攻撃者に狙われやすく、近年はその管理基盤(SD-WAN Manager等)まで標的が広がっています。管理基盤を奪われると配下のエッジ機器全体に影響が及ぶため、対応の重みは増しています。現場では次の点を押さえたいところです。
- 資産の棚卸し:SD-WAN Manager/Controller/Validator、ASA/FTD、FMC、CUCMなどのバージョンと、管理インターフェースの露出状況を即時に洗い出す。管理プレーンはインターネット非露出・アクセス制限を徹底する。
- KEVを優先軸に組み込む:CISA KEV登録の脆弱性は、CVSSスコアに関わらず最優先で計画する。
- EoL機器の把握:修正版が提供されない世代は恒久的なリスク。EoL/EoSの棚卸しと更改計画を脆弱性管理と連動させる。
- 「止められない機器」への備え:SD-WAN管理基盤やVPN・通話基盤は事業継続上停止しづらく、適用が遅れがち。メンテナンス枠の事前確保や冗長構成での無停止更新、暫定的なアクセス制限を併用する。
- 「更新したから安全」ではない:ASA/FTDの事例のように、更新後も持続化機構が残る場合がある。KEV・緊急指令の対象は、更新に加えてログ精査・侵害確認まで行う。
具体的なバージョンや回避策はCisco公式のセキュリティアドバイザリとSoftware Checkerで確認してください。脆弱性対応の優先順位づけの考え方は、脆弱性・脅威情報のカテゴリもあわせてご覧ください。
まとめ
- 2026年5〜6月、CiscoのSD-WAN管理基盤などで深刻な脆弱性が相次ぎ、一部は悪用が確認されている。
- CVE-2026-20262はCVSS 6.5ながら悪用確認・KEV登録済み。スコアより「悪用」「露出」を優先軸に判断する。
- 管理基盤の非露出化、資産棚卸し、KEV優先、更新後の侵害確認まで含めた運用が要点。
出典
- JPCERT/CC Weekly Report 2026-06-10:https://www.jpcert.or.jp/wr/2026/wr260610.html
- Cisco Security Advisory(SD-WAN Manager, CVE-2026-20262):cisco-sa-sdwan-arbfw-c2rZvQ
- CISA「Known Exploited Vulnerabilities Catalog」:https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- CISA 緊急指令 ED 25-03:ED 25-03
