セキュリティ企業Mandiantは2026年6月24日、Cisco Catalyst SD-WAN製品群の脆弱性CVE-2026-20245が実際のゼロデイ攻撃に悪用され、攻撃者がroot権限を持つ不正アカウントを標的デバイスに作成していた詳細を公開した。攻撃者は証拠を巧みに消去しており、侵害を把握できていない組織が存在する可能性がある。

攻撃の全容——4段階で侵入し、痕跡を完全消去

今回の攻撃は単純な脆弱性悪用ではなく、複数フェーズで構成された精緻なオペレーションだ。

第1段階:不正なSD-WANピアリング接続の確立

2026年3月から、攻撃者はあるサービスプロバイダのインフラに対して不正なピア接続を確立し、vmanage-adminアカウントを使ってSD-WAN Managerに認証した。Mandiantは、この初期アクセスに認証バイパスの脆弱性CVE-2026-20127およびCVE-2026-20182が関与していた可能性を指摘しているが、確定はしていない。

第2段階:情報収集とパスワード偽装

アクセスを得た攻撃者は管理者アカウントのパスワードを変更し、SD-WAN Manager WebUIにログイン。エッジデバイス・コントローラー・SD-WANテンプレートの設定情報を抜き取ったのち、活動完了後にパスワードを元に戻すという巧妙な隠蔽工作を行っている。

第3段階:CVE-2026-20245によるroot権限奪取

核心となるのがCVE-2026-20245の悪用だ。攻撃者はSD-WANのCLIに存在するテナントアップロード機能を悪用し、evil_tenant.csvと名付けた細工済みCSVファイルをアップロード。このペイロードは以下を実行した:

  • /etc/passwd/etc/shadowなどシステム設定ファイルのバックアップ
  • root権限を持つ新規アカウント「troot」の作成
  • Linuxのsuコマンドで管理者アカウントからtrootへ切り替え

この手順でデバイスの完全制御を獲得した。

第4段階:アンチフォレンジックによる痕跡消去

特筆すべきは痕跡の消し方だ。悪意あるCSVファイルの削除、一時ファイルの消去、不正rootアカウントの削除、そして事前にバックアップした設定ファイルの完全復元——最後に「証拠が完全に消えたか」を確認するバリデーションスクリプトまで実行している。

脆弱性の技術的背景

CVE-2026-20245は、Cisco Catalyst SD-WAN Manager(vManage)・Controller(vSmart)・Validator(vBond)のCLIに存在するコマンドインジェクション脆弱性。ユーザー入力値の検証不足が根本原因で、ローカルアクセス権を持つ認証済み攻撃者がrootとして任意コマンドを実行できる。

Ciscoは修正済みソフトウェアへのアップグレードを強く推奨しており、ワークアラウンドは存在しない。パッチ適用が唯一の対策だ。

日本のネットワーク管理者が今すぐやるべきこと

即座の対応

  • パッチ適用最優先: Cisco提供の修正済みバージョンへの即時アップグレード。ワークアラウンドがないため、これ一択
  • vmanage-adminの認証ログ確認: 2026年3月以降の不審なログイン、特に通常と異なる送信元IPからのアクセスを調査
  • テナントアップロード機能のログ確認: CLIからのファイルアップロード操作の痕跡を確認
  • /etc/passwd/etc/shadowの整合性チェック: 「troot」等の見慣れないアカウントの有無を確認

中長期的な対策

  • SD-WAN管理面へのアクセスはJIT(Just-In-Time)で管理し、常時アクセス権の付与を排除する
  • 管理コンソールへの接続をゼロトラストネットワーク経由に限定する
  • ファイル整合性監視(FIM)を導入し、重要設定ファイルの変更を即時検知できる体制を整える

筆者の見解

今回のMandiantの分析で改めて痛感するのは、「今動いているから大丈夫」という発想の危うさだ。攻撃者はパスワードを元に戻し、証拠を消し、バリデーションまでかけて静かに立ち去る。その後で「うちは侵害されていない」と言っても、実は3月から潜伏されていた——そういう事態が今まさに複数組織で起きている可能性がある。

SD-WANは企業ネットワークの根幹を担うインフラだ。その管理面を押さえた攻撃者は、エッジデバイスの設定を自在に書き換える権限まで握る。SD-WAN導入で「ネットワークがスマートになった」と安心している場合ではなく、管理面のアクセス制御をより厳格にしなければならない時代に入っている。

VPN代替として普及してきたSD-WANだが、その管理インフラ自体がセキュリティの新たな攻撃対象になっている現実を、今回の事件は突きつけている。JITアクセス・最小権限・監査ログの継続的モニタリング——これらを「いつかやる」ではなく、今週の最優先タスクに上げてほしい。

出典: この記事は Mandiant reveals how Cisco SD-WAN zero-day attacks gained root access の内容をもとに、筆者の見解を加えて独自に執筆したものです。