Ciscoは数十年にわたり、ネットワークインフラ分野のリーダーとしての地位を築いてきました。同社は、企業や政府機関が信頼を寄せるセキュアなネットワーク機器の主要プロバイダーの一つです。しかし、ここ数カ月、その優位性が同社のアキレス腱になりつつあります。
2026年初頭以降、セキュリティ研究者たちはCisco SD-WANの脆弱性を狙った一連の攻撃を継続的に追跡してきました。これらの攻撃は主要な政府機関のサイトや重要インフラ事業者にも影響を及ぼしたとみられ、世界各国の当局の間で警戒感が高まっています。
「エッジインフラは、エンタープライズセキュリティの中でも依然として最も価値の高い標的の一つです」と、Rapid7で脆弱性インテリジェンス担当ディレクターを務めるDouglas McKee氏は述べています。「SD-WANやファイアウォールの管理機能を侵害すれば、ポリシー、可視性、ルーティング、セグメンテーション、そして多くの場合、環境の広範囲にわたる管理者権限にまで足がかりを得ることになります」
Cisco製の環境は、世界で最も機密性の高い政府・企業ネットワークで広く利用されていることもあり、近年、国家の後ろ盾を持つ攻撃者をはじめとするトップクラスの脅威アクターにとって、ますます重要な標的となっています。
数字で見る
3,900万
Ciscoプラットフォームに接続されたネットワーク機器数
10億
月間接続クライアント数
7,500億
1日あたりに観測されるセキュリティイベント数
2024年に中国と関連の深い脅威アクターSalt Typhoonが展開したキャンペーンでは、これらの攻撃はCisco製機器へのアクセスを悪用し、大手通信事業者への侵入を果たしていました。
重要セクターへの脅威
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2月、ある脅威アクターが認証バイパスの脆弱性を狙っていると警告する緊急指令を発出しました。この脆弱性はCVE-2026-20127として追跡されており、権限昇格の欠陥はCVE-2026-20775として追跡されており、いずれもCisco Catalyst SD-WANシステムに存在するものでした。
Cisco Talosの研究者は5月、CVE-2026-20182として追跡されている認証バイパスの脆弱性が、UAT-8616と呼ばれる高度な脅威アクターに悪用されていると発表しました。
Cisco Talosによると、別の脅威アクターらはCisco Catalyst SD-WAN Managerに存在する3件の脆弱性を連鎖させ、攻撃者がデバイスへのアクセス権を得られるようにしていました。連鎖利用された脆弱性はCVE-2026-20133、CVE-2026-20122、CVE-2026-20128の3件で、これらを悪用することでWebシェルが設置され、攻撃者はデバイス上でbashコマンドを実行できるようになっていました。
エッジインフラは、エンタープライズセキュリティの中でも依然として最も価値の高い標的の一つです。

Douglas McKee
Rapid7、脆弱性インテリジェンス担当ディレクター
Gartnerのバイスプレジデント・アナリストであるJonathan Forest氏は、Cisco製品が政府・企業ネットワークで広範に利用されていることが、頻繁に標的とされる理由の一つだと指摘しています。
ソフトウェア定義広域ネットワーク(SD-WAN)は、クラウド環境、データセンター、支店拠点など、企業のさまざまな拠点を接続するための仮想技術です。SD-WAN環境では、効率的なルーティング、セキュリティ、負荷分散を組み合わせて利用できます。
Cisco Catalyst SD-WANは多くの場合、顧客自身の環境内に導入されるため、パッチ適用の責任は主に顧客側のセキュリティチームが担うことになります。
「その結果、パッチ適用が遅れ、脆弱性が長期間放置されたままとなり、攻撃者に付け込まれる隙が生まれかねません」とForest氏は述べています。
Cisco製品はこれほど広く導入されているため、その堅牢性とセキュリティには大きなものがかかっています。
「この普及度の高さゆえに、Cisco製品はより激しい攻撃にさらされがちです。単一の欠陥から、下流に連なる数多くの著名な顧客へのアクセスにつながりかねないからです」と、Center for Internet Securityで脅威インテリジェンス担当シニアディレクターを務めるTJ Sayers氏は述べています。
重要サービスへの影響
病院をはじめとする医療施設は、SD-WANが提供する技術に大きく依存しています。多くの場合、中央の病院が院外の診療所やデータセンターに接続される分散型ネットワークを利用しているほか、クラウドプラットフォームを活用しているケースもあります。
「広域ネットワークインフラで重大な脆弱性が繰り返し発見されると、医療分野のITセキュリティチームには多大なプレッシャーがかかり、その影響の大きさは計り知れません」と、Health Information Sharing and Analysis Center(Health-ISAC)の最高セキュリティ責任者を務めるErrol Weiss氏はCybersecurity Diveに語りました。
「サイバー攻撃がインフラの欠陥を突いて長期にわたるITシステムの停止を引き起こし、救急医療、検査結果、投薬管理などに支障が出れば、診療のスピードが落ち、患者の転帰に悪影響を及ぼしかねません」とWeiss氏は述べています。
不正なピアリング
Google Cloudのインシデント対応部門であるMandiantは、通信サービスプロバイダーにおいて、ハッカーがCisco Catalyst SD-WANのゼロデイ脆弱性を悪用し、侵害した管理者アカウントを通じてルート権限を取得した3月の攻撃を公表しました。この脆弱性は後にCVE-2026-20245として特定され、パッチが公開されました。
Mandiantは当初、2025年後半からサービスプロバイダーのSD-WANデバイスへの不正なピアリング接続を確認しており、当時未公表・未パッチだったCVE-2026-20127またはCVE-2026-20182をハッカーが悪用した可能性を指摘していました。しかし後の調査で、標的となったデバイスはいずれの脆弱性の影響も受けていないことが判明しています。
研究者らによれば、3月のインシデントでも不正なピアリングが確認されたといいます。これは、エッジルーター、地域ハブ、中央コントローラーといった別々のネットワークコンポーネント間で信頼された接続を確立するプロセスを指します。ハッカーはアクセス権を取得した後、SD-WAN Managerに対して認証を行い、デフォルトの管理者アカウントのパスワードを変更していました。
Mandiantの研究者によると、ハッカーは攻撃中に作成した全ファイルの削除や、変更されたシステム設定の復元など、フォレンジック上の痕跡を隠蔽するための多数の手段を講じていたといいます。
2025年後半のインシデントと3月のインシデントの実行犯が同一人物かどうかは、現時点では明らかになっていません。
「Mandiantは初期調査の段階でゼロデイの可能性を疑っていましたが、新たな欠陥の悪用であることを確認するには、より深いフォレンジック分析が必要でした」と、Mandiant – Google Cloudのシニアサイバーセキュリティコンサルタントを務めるPete Boonyakarn氏はCybersecurity Diveに語りました。
広域ネットワークインフラで重大な脆弱性が繰り返し発見されると、医療分野のITセキュリティチームには多大なプレッシャーがかかり、その影響の大きさは計り知れません。

Errol Weiss
Health-ISAC、CSO
執拗な標的
SD-WANを狙った今回の一連の攻撃は、Ciscoにとって決して特異な出来事ではありません。同社のネットワーキング製品・セキュリティ製品は、ここ数年、最も標的にされやすい製品の一つとなってきました。
CISAは2025年9月に緊急指令を発出し、連邦文民行政機関に対し、Cisco製機器に存在する複数の脆弱性を緩和するための即時対応を命じました。
この指令は、高度な攻撃者がCisco Adaptive Security Appliancesのゼロデイ欠陥を悪用し、さらに読み取り専用メモリを改ざんして再起動後も持続する永続化を実現していた事案に関連するものでした。同じ欠陥はCisco Firepowerデバイスでも確認されています。
公表時点で、世界全体で少なくとも10の組織が侵害を受けており、この数は今後さらに増加すると見込まれていました。
これらの攻撃は、リモートコード実行の脆弱性であるCVE-2025-20333、および権限昇格の脆弱性であるCVE-2025-20362に関連するものでした。この脅威活動は、2024年初頭に始まったArcane Doorキャンペーンにさかのぼるものとされています。
9月のインシデントは連邦議会の注目も集めました。2025年10月には、ルイジアナ州選出のBill Cassidy上院議員がCisco宛てに具体的な質問事項をまとめた書簡を送付し、連邦機関および一般市民への潜在的な影響について説明を求めました。
上院保健・教育・労働・年金委員会の委員長を務めるCassidy氏は、こうしたサイバーリスクの潜在的な影響について調査を主導しているとし、これを「国家にとって重大な脅威」だと表現しました。
「世界最大のネットワークインフラプロバイダーとして、Ciscoは連邦政府だけでなく、事実上あらゆる企業にサービスを提供するという特異な立場にあります」とCassidy氏は書簡の中で綴っています。
セキュリティガバナンス
こうした一連の問題を抱えながらも、Ciscoは自社製品のセキュリティと顧客からの信頼を維持することに、慎重かつ真摯に取り組んでいる企業だと広く見なされています。
2025年版Cisco年次報告書によると、同社は最高セキュリティ・信頼責任者(Chief Security and Trust Officer)を務めるAnthony Grieco氏の指揮のもと、Security and Trust Organizationという組織を運営しています。同社の取締役会は監査委員会を通じてサイバーリスクを監視しており、この委員会は年に複数回Grieco氏と面談を行っています。
サイバーセキュリティインシデントや脅威が発生した際には、取締役会と監査委員会はより頻繁な報告を受ける体制になっています。年次報告書提出時点で、Ciscoはサイバーリスクや過去に確認されたいかなるサイバー問題によっても、自社の財務状況や経営成績に重大な影響は生じていないとの見解を示しています。
先手を打った取り組み
Ciscoの経営幹部は近年、急速に変化する脅威の状況を公に認めており、同社は自社製品ラインナップのセキュリティを維持するためのプログラムを整備しています。
「当社には、自社製品を先回りして攻撃し、脆弱性を見つけ出すレッドチームがあります」と、Grieco氏は先月ラスベガスで開催されたCisco Live カンファレンスのパネルディスカッションで語りました。
しかしCiscoの経営幹部は、現代の脅威を食い止めるうえで従来型の対策だけに頼るわけにはいかないことを理解していました。同社は最近、最先端のAIモデルを取り入れることで、人間の最優秀テスターだけでは到達し得ない規模とスコープまで脆弱性スキャンの限界を押し広げています。
Ciscoは「Project Glasswing」の創設メンバーであり、Anthropicの先進モデル「Claude Mythos Preview」の非公開テストにも参加しました。
Grieco氏が6月のブログ投稿で述べたところによると、Ciscoは最先端AIを用いて18億行のコードをテストし、これを8週間で完了させました。同氏は、自社のセキュリティチームだけでこの作業を行っていたら、およそ8年はかかっていただろうと指摘しています。
Cisco幹部は、AIだけで自社製品の脆弱性がすべて魔法のように解消されるわけではないことを理解しています。Grieco氏によれば、同社は最先端のLLMと独自の人間主導型ハーネスを組み合わせることで、誤検知率を3%未満に抑えることができたといいます。
「真にAI主導と呼べるセキュリティとは、単に検出した脆弱性の数だけで測られるものではなく、規模を伴った実行可能な精度によって測られるべきものです」とGrieco氏はブログ投稿の中で述べています。
同社は、脆弱性の公表方法と優先順位付けの方法について、重要な変更を明らかにしています。
Ciscoの情報セキュリティ担当バイスプレジデントであるRuss Smoak氏によるブログ投稿によれば、Ciscoは7月から、毎月第1・第3水曜日を起点とする月2回の公表モデルに移行しました。
Smoak氏によると、同社はまた、積極的に悪用されている、あるいは悪用されるリスクが最も高い重大な脆弱性を重視する方向へと、公表モデルを転換させたといいます。