米CISA、Cisco SD-WANの脆弱性悪用で緊急対応を要請
【危険度MAX】Cisco製品に「パスワード不要で侵入可能」な最悪の脆弱性。米当局がわずか3日の猶予で緊急指令を出した理由
米CISAの発表およびSecurity NEXT(2026年5月14日公開)の報道に基づき、事実のみをまとめています。
何がそんなにやばいのか?「企業のネットワーク管制塔」がノーパスで乗っ取られる恐怖
今回の攻撃の標的となっているのは、シスコ社の「Cisco Catalyst SD-WAN Manager」および「Cisco Catalyst SD-WAN Controller」という製品です。
これらは簡単に言うと、「企業内の全拠点の通信をひとまとめに管理・制御している中央管制塔」です。そして、今回の脆弱性は「認証バイパス」と呼ばれるもの。つまり、本来なら必要なはずのIDやパスワードを一切入力することなく、最高権限でシステム内に侵入できてしまう状態にあります。
すでに2026年5月に入ってから、この穴を突いた実際のサイバー攻撃(ゼロデイ攻撃)が複数展開されていることが確認されており、事態は一刻を争います。
猶予はわずか3日。米当局(CISA)が発した異例の「超短期」命令
CISAはこの事態を受け、同庁が管理する「悪用が確認された脆弱性カタログ(KEV)」にこの欠陥を即座に登録。米行政機関に対し、過去に出された緊急指令「ED 26-03」のルールを適用し、大至急以下の対応を行うよう命じました。
- 機器の徹底的な把握とリスク評価
- 脆弱性の即時解消(パッチ適用など)
- すでに内部に侵入されていないかの「侵害状況調査」
この命令が下されたのが5月14日、そして**対応期限に指定されたのは5月17日**です。国家の重要機関に対し、週末を挟んでわずか3日間で対応を完了させるよう求めるのは、セキュリティ業界でも極めて異例の措置です。
「CVSS 10.0」という数字が意味する、絶対的な防衛崩壊
セキュリティの欠陥のヤバさを表す国際基準「CVSS」において、今回の「10.0」は文字通りのカウンターストップ、つまり**「これ以上ない最悪の脆弱性」**を意味します。技術的な難易度が低く(誰でも簡単に悪用でき)、かつ成功した際の影響が壊滅的(ネットワーク全体を完全に支配できる)である場合にのみ、この数字がつけられます。
シスコのSD-WAN(広域ネットワーク管理システム)は、政府機関や大企業のインフラに深く根を張っています。ここが乗っ取られるということは、そのネットワークを流れる全てのデータ(機密情報、メール、パスワードなど)が盗聴・改ざんされるだけでなく、そこから組織内のあらゆるパソコンへウイルスをばら撒く拠点にされることを意味します。米政府がパニック急の超短期期限を設定した背景には、「すでに国家を狙うレベルの高度なハッカー集団が内部に潜入している」という強い危機感があるからに他なりません。
繰り返されるCisco製品への波状攻撃
実は、シスコ社のSD-WAN製品が狙われたのは今回が初めてではありません。CISAの「ED 26-03」ガイダンスによると、過去にも今回の件と酷似した認証回避の脆弱性(CVE-2026-20127)や、ファイルを不正に書き換えるパストラバーサルの脆弱性(CVE-2022-20775)などが確認され、その都度激しいハッキングの標的になってきました。
CISAは今回の緊急命令と同時に、一般の企業や組織に対しても、すでに手遅れとなっていないかシステム内部を徹底調査するための「侵害調査ガイダンス」や環境の堅牢化(頑丈にするための設定)に向けた手引書を公開し、官民問わず一刻も早い盾の修復を呼びかけています。
