2026年6月5日、CiscoはSD-WAN Manager(旧vManage)に影響するゼロデイ脆弱性CVE-2026-20245を公開した。CVSS 7.8のこの脆弱性は、netadmin権限を持つ認証済み攻撃者がCLI経由で細工したファイルをアップロードすることでroot権限への昇格を可能にする。最も深刻な事実は、本稿執筆時点でパッチもワークアラウンドも提供されていないことである。さらにこの脆弱性は単独で悪用されたものではない。Cisco Talosが「UAT-8616」と命名した脅威アクターは、2023年から少なくとも3年間にわたり潜伏し、2026年だけで7件のゼロデイを連鎖させてSD-WAN基盤を体系的に攻撃してきた。CISAは緊急指令26-03を発出し、連邦政府機関に対して5月17日までの修正を求めた。この事態は、AI自律ゼロデイ発見の産業化が進む中で、ネットワーク管理基盤そのものが構造的な攻撃対象となっている現実を突きつけている。集中管理型プラットフォームの制御権を奪取されれば、全拠点のネットワーク構成が攻撃者の支配下に置かれる。これはもはや個別の脆弱性対応の問題ではなく、ネットワーク基盤防御のアーキテクチャそのものを問い直すべき局面である。

CVE-2026-20245の技術的解剖 ── netadmin権限からroot昇格への攻撃パス

CVE-2026-20245は、Cisco Catalyst SD-WAN ManagerのCLIにおける入力バリデーション不備に起因するコマンドインジェクション脆弱性である。CVSS v3.1スコアは7.8(High)、攻撃ベクトルはローカル、攻撃の複雑性は低、必要な権限はnetadminレベルとされている。攻撃者は細工したファイルをCLI経由でアップロードし、不十分な入力検証を突破することで、本来netadmin権限では到達できないroot権限でのコマンド実行を実現する。

この脆弱性の発見者は、Mandiantの研究者Chester Sng、Pete Boonyakarn、Logeswaran Nadarajanの3名である。彼らはインシデント対応の過程でこの脆弱性を特定しており、既に実際の攻撃で悪用されていたことを意味する。発見が攻撃の事後分析から行われたという事実は、従来のセキュリティリサーチによる事前発見ではなく、侵害対応を通じてゼロデイが炙り出されるという深刻な状況を示している。

影響範囲は広い。オンプレミス展開、Cloud-Provisioned、Managed Cloud、FedRAMPの全4種類のデプロイメントタイプが影響を受ける。特にFedRAMP環境への影響は、米連邦政府のネットワーク基盤が直接的なリスクにさらされることを意味する。2026年6月5日の公開時点で、Ciscoはパッチを提供していない。ワークアラウンドも存在しない。Ciscoが推奨する唯一の対応は、侵害の兆候を検知した場合にCisco TACに連絡することである。

侵害の痕跡(IOC)としては、/var/log/scripts.logにおける不審なvScriptエントリが挙げられている。通常のSD-WAN Manager運用では生成されないスクリプト実行ログが記録されている場合、CVE-2026-20245の悪用を疑う必要がある。また、admin-techファイルの収集時に異常なプロセスやファイルが検出される場合も、侵害の兆候となる。netadminからrootへの権限昇格という攻撃パスは、ネットワーク管理における権限分離の設計思想そのものに疑問を投げかけている。netadminは本来、ネットワーク構成の管理に必要な範囲の権限のみを付与するロールであるが、CLIの入力検証不備により、この境界が完全に崩壊している。

UAT-8616 ── 3年間の潜伏と7件連鎖ゼロデイ攻撃の全貌

CVE-2026-20245を語るうえで不可欠なのが、脅威アクター「UAT-8616」の存在である。Cisco Talosの分析によれば、UAT-8616は少なくとも2023年から活動を開始し、3年以上にわたってSD-WAN基盤に潜伏してきた。2026年に入ってからだけで7件のゼロデイ脆弱性を悪用しており、CVE-2026-20245はその最新の一つである。

UAT-8616が悪用した7件の脆弱性の全容は以下の通りである。CVE-2026-20127(認証バイパス)、CVE-2026-20182(CVSS 10.0、最大深刻度の認証バイパス)、CVE-2026-20122、CVE-2026-20128、CVE-2026-20133、CVE-2026-20245(root権限昇格)、そしてCVE-2022-20775(パストラバーサル、2022年公開の既知脆弱性)である。特にCVE-2026-20182はCVSSスコア10.0を記録しており、SD-WAN Managerの認証機構を完全にバイパスする能力を持つ。

攻撃チェーンは精緻に設計されている。まずCVE-2026-20127による認証バイパスでSD-WAN Managerへの初期アクセスを確立する。次にソフトウェアのバージョンダウングレードを実行し、古いバージョンに存在するCVE-2022-20775(パストラバーサル)を悪用可能な状態にする。その後、CVE-2026-20245を通じてnetadmin権限からroot権限への昇格を達成する。この多段階攻撃は、個別のCVEに対するパッチ適用だけでは防御が不完全であることを如実に示している。ソフトウェアダウングレードという手法は、最新のパッチが適用されていても古い脆弱性を再び悪用可能にするため、バージョン管理とダウングレード防止が防御の要となる。

侵害後の活動も高度である。UAT-8616はSSH鍵の注入による永続的なアクセス確保、NETCONFプロトコルを利用した構成の操作、悪意のあるアカウントの作成、そしてログの消去を体系的に実施する。さらに巧妙なのは、ソフトウェアバージョンをダウングレードして脆弱性を悪用した後、元のバージョンに復元することで痕跡を隠蔽する手法である。この「ダウングレード→悪用→復元」というサイクルは、従来のログ分析やバージョン監視だけでは検出が極めて困難である。

UAT-8616の標的は重要インフラ組織である。CISAは緊急指令26-03を発出し、連邦政府機関に対して2026年5月17日までの修正を義務付けた。この期限の切迫さは、脅威の深刻度を反映している。3年間にわたる潜伏期間は、SD-WAN基盤における検知能力の根本的な不足を浮き彫りにしている。

SD-WAN管理基盤の構造的脆弱性 ── 「入口制御」だけでは防げない多段階攻撃

CVE-2026-20245とUAT-8616の攻撃チェーンが明らかにしたのは、SD-WAN Managerが持つ本質的なリスクである。SD-WAN Managerは集中管理型のコントロールプレーンとして機能し、数百から数千のエッジデバイスに対する構成のプッシュ、ポリシーの適用、ソフトウェアの更新を一元的に制御する。この「一箇所で全拠点を管理できる」利便性は、裏を返せば「一箇所の侵害が全拠点に波及する」リスクと表裏一体である。

市場規模から見たインパクトは甚大である。CiscoはグローバルSD-WANエンドポイントの約17%のシェアを持ち、25万以上のブランチロケーションがCisco SD-WANで接続されている。SD-WAN市場全体は2025年時点で91.7億ドル規模に達し、年間成長率は22〜31%で推移している。この成長は、同時にSD-WAN管理基盤が攻撃者にとってますます価値の高い標的となっていることを意味する。

netadmin権限の分離が不十分であるという問題は、権限モデルの設計に起因する構造的な欠陥である。本来、netadminはネットワーク構成の管理に特化したロールであり、システムレベルの操作(root権限で実行されるべき操作)とは明確に分離されるべきである。しかし、CLIの入力検証不備によりこの境界が破られた。MFA疲労攻撃とパスワードレス認証の構造的限界でも論じた通り、認証・認可の境界が破られた場合の影響は、システムの集中度に比例して増大する。

筆者は全国規模WAFサービスの技術主任として、止められないインフラの制約の中でセキュリティ対策を設計・運用してきた経験がある。SD-WAN Managerもまた「止められないインフラ」の典型である。パッチが提供されていない現状では、管理基盤をオフラインにすることは全拠点のネットワーク運用停止を意味する。また、セキュリティ設計・戦略策定の実務を通じて痛感してきたのは、ビジネス制約とセキュリティ要件のバランスである。「パッチが出るまで使うな」という助言は技術的には正しくとも、ビジネス上は実行不可能なケースがほとんどである。だからこそ、入口制御(認証・認可)だけに依存しない多層防御の設計が不可欠となる。管理プレーンへのアクセスを制限するネットワークセグメンテーション、異常な構成変更を検知する監視、権限昇格の兆候を捉えるログ分析など、複数の防御層を組み合わせた設計が求められる。

エッジデバイス侵害の波及効果 ── SD-WAN構成変更がもたらす全拠点リスク

SD-WAN Managerのroot権限が奪取された場合、攻撃の影響はManagerサーバ単体にとどまらない。Managerから各拠点のエッジデバイスに対して構成をプッシュする機能を悪用すれば、WAN全体のトポロジーが攻撃者の制御下に置かれる。これこそがSD-WAN管理基盤攻撃の本質的な脅威である。

UAT-8616はNETCONFプロトコルを利用した構成操作を実行していることがCisco Talosの分析で確認されている。NETCONFはネットワークデバイスの構成管理に用いられるプロトコルであり、SD-WAN Managerからエッジデバイスへの構成プッシュにも使用される。攻撃者がNETCONFを通じてエッジデバイスの構成を改ざんした場合、トラフィックのリダイレクト、暗号化の無効化、アクセス制御リストの変更、VPNトンネルの追加・変更など、ネットワーク基盤の根幹に関わる変更が可能となる。特に深刻なのは、制御トポロジーにおける不正なピア接続の確立である。攻撃者が管理下のデバイスを正規のSD-WANファブリックに参加させることで、全拠点間の通信を傍受・改ざんする能力を獲得する可能性がある。

FedRAMP環境への影響は、国家安全保障の観点から特に重大である。FedRAMPは米連邦政府のクラウドセキュリティ認証プログラムであり、FedRAMP認証を受けたSD-WAN環境は政府機関の機密性の高い通信を処理している。この環境が侵害された場合、政府ネットワーク全体のセキュリティが根本から脅かされる。CISAが緊急指令26-03を発出し、異例の短い修正期限を設定したのは、この国家安全保障上のリスクを反映したものである。

他のネットワーク管理プラットフォームの脆弱性と比較すると、SD-WAN Manager攻撃の特異性が浮かび上がる。Apache OFBiz CVE-2026-31986ハードコード鍵脆弱性が示したように、管理プラットフォームの認証バイパスは重大なリスクをもたらすが、SD-WAN Managerの場合はその影響がネットワーク層に直結する点で、アプリケーション層の脆弱性とは質的に異なる。ネットワーク構成の変更は通信の土台そのものを書き換える行為であり、その上で動作するすべてのアプリケーション、サービス、セキュリティ制御に影響を及ぼす。ファイアウォールルールの無効化、DNS設定の改ざん、ルーティングテーブルの操作など、ネットワーク層での改ざんは上位レイヤーのセキュリティ制御を根底から無力化する可能性がある。全拠点のエッジデバイスが同時に構成変更を受ける場合、その検知と復旧には膨大な時間とリソースが必要となる。

防御側の対応フレームワーク ── パッチ不在下での多層防御設計

CVE-2026-20245に対するパッチが提供されていない現状において、防御側が取るべきアクションは多岐にわたる。まず最優先は、既に侵害されている可能性の検証である。admin-techログの収集と分析、/var/log/scripts.logにおける不審なvScriptエントリの確認、未承認のSSH鍵の有無、説明のつかないリブートの履歴を体系的に検査する必要がある。UAT-8616は3年間潜伏していたことを考えると、「まだ侵害されていない」という前提ではなく、「侵害されている可能性を検証する」というアプローチが適切である。

証拠の保全は、アップグレードや修復作業の前に実施しなければならない。ソフトウェアのアップグレードやデバイスのリストアを行うと、攻撃者の痕跡が上書きされ、フォレンジック分析が困難になる。admin-techファイルの取得、ログのエクスポート、構成のバックアップを修復前に完了させることが鉄則である。

前提条件となる脆弱性への対処も重要である。UAT-8616の攻撃チェーンにおける入口となるCVE-2026-20182(CVSS 10.0)に対するパッチは2026年5月14日に提供されている。このパッチの適用は、攻撃チェーンの起点を封じるうえで最も即効性のある対策である。CVE-2026-20245自体のパッチが提供されていなくとも、攻撃チェーンの上流を遮断することで実質的なリスクを低減できる。

管理プレーンに対するネットワークセグメンテーションは、中長期的な防御設計の核となる。SD-WAN Managerへのアクセスを専用の管理ネットワークに限定し、一般ユーザネットワークやインターネットからの直接アクセスを遮断する。ジャンプサーバ(踏み台サーバ)を経由したアクセスに限定し、全アクセスのログを取得することで、不正アクセスの検知能力を高める。ネットワーク管理基盤に対するゼロトラストアーキテクチャの適用も検討すべきである。「管理ネットワーク内だから安全」という暗黙の信頼を排除し、すべてのアクセスに対して認証・認可・監査を適用する設計が求められる。

筆者はSOC構築・SIEM導入の実務経験から、アラートから判断までのプロセス設計がセキュリティ運用の成否を決定することを確認してきた。SD-WAN環境においては、構成変更の監視が特に重要である。正規の変更管理プロセスを経ていない構成変更を即座に検知し、調査を開始できる体制が必要である。Deterministic AI vs Agentic AIセキュリティアーキテクチャの観点からは、構成変更の正常パターンを学習し、逸脱を検知するAIベースの監視も有効な選択肢となる。侵害が確認された場合は、速やかにCisco TACに連絡し、Mandiantを含むインシデント対応チームとの連携を開始すべきである。組織単独での対応は、UAT-8616の高度な潜伏能力と痕跡隠蔽技術を考慮すると、不十分となるリスクが高い。

FAQ

CVE-2026-20245はリモートから悪用できるのか?

CVE-2026-20245単独ではローカルCLIアクセスが必要であり、netadmin権限が前提となる。ただしUAT-8616はCVE-2026-20127等の認証バイパスと組み合わせてリモートから攻撃チェーンを構築しており、単独評価でリスクを過小評価すべきではない。

パッチが出るまでの暫定対策はあるか?

Cisco公式のワークアラウンドは提供されていない。攻撃チェーンの入口となるCVE-2026-20182のパッチ適用(5月14日提供済み)、管理プレーンのネットワーク分離、CLI操作の監査ログ強化が現実的な暫定対策である。

SD-WAN ManagerのどのバージョンがCVE-2026-20245の影響を受けるか?

Ciscoのアドバイザリによれば、オンプレミス、Cloud-Provisioned、Managed Cloud、FedRAMPの全4デプロイメントタイプが影響を受ける。具体的な影響バージョンの詳細はCisco Security Advisoryを参照すべきである。

UAT-8616はどの国家に関連する脅威アクターなのか?

Cisco Talosは「UAT-8616」という追跡名称を使用しており、特定の国家への帰属は公式に発表していない。ただし、重要インフラを標的とする高度な持続型脅威であり、国家支援型アクターの特徴を有すると複数のセキュリティ企業が分析している。

自社のSD-WAN環境が既に侵害されているか確認する方法は?

/var/log/scripts.logの不審なvScriptエントリ、未承認のSSH公開鍵、説明のつかないリブート履歴、admin-techファイル内の異常プロセスを確認する。3年間の潜伏実績があるため、過去ログの遡及調査も必要である。

CISAの緊急指令26-03は民間企業にも適用されるのか?

緊急指令26-03の法的拘束力は連邦政府機関に限定される。ただしCISAは民間の重要インフラ事業者にも同等の対応を強く推奨しており、修正期限の5月17日は業界全体のベンチマークとして機能している。

参考文献