Cisco UC/Webexに未認証RCEのゼロデイ──CVE-2026-20045は“通話と会議”の背骨に突き刺さる脆弱性です

今日の深掘りポイント

• 管理インターフェースのHTTP入力検証不備を突く未認証RCEで、攻撃者はOSレベルの任意コマンド実行に到達します。UCはしばしばAD/LDAPやメール、録音系と密接に結合しており、横展開の足場として危険度が高い資産です。
• 実運用で悪用が観測され、当局の既知悪用リストに載る種類の事案です。優先度は最上位、露出資産の即時棚卸とパッチ適用が要件です。
• CVSS表記とベンダの「クリティカル」表現に差が示唆されますが、未認証・リモート・RCE・悪用中という事実から、運用上はP0扱いが妥当です。
• Webex Calling Dedicated Instanceのような専用インスタンスはベンダ側のメンテナンスが介在します。パッチ適用主体と変更ウィンドウの確認を直ちに進めるべきです。
• 監査と狩りを同時並行で走らせるべき案件です。Tomcat系の管理UIアクセス異常、Web経由でのプロセス生成、ルーティング変更や国際発信の急増などを指標に、早期兆候をあぶり出すのが肝要です。

はじめに

朝の運用会議を前に、止められない基盤のひとつが通信です。PBX、会議、ボイスメールは、インシデント対応時ほど重要度が増すライフラインでもあります。今回のCVE-2026-20045は、そのライフラインの管理面からOSに踏み込める未認証RCEという、素直に厄介な類型です。悪用が現実化している以上、技術的な難易度やCVSSの数字よりも、露出と連鎖の速さがリスクを決めます。優先順位づけ、影響半径の見極め、実施手順の“継ぎ目”を減らすことに集中したい局面です。

深掘り詳細

何が起きているか（事実）

• CiscoのUnified Communications系製品群およびWebex Calling Dedicated Instanceに、管理インターフェースのHTTPリクエストに対する入力検証不備が存在し、未認証のリモート攻撃者がOS上で任意コマンドを実行できる脆弱性CVE-2026-20045が公表・修正されています。影響範囲には、Unified CM、Unified CM Session Management Edition、IM & Presence Service、Unity Connection、Webex Calling Dedicated Instanceが含まれると報じられています。
• この脆弱性は実際に悪用が観測され、米CISAの既知の悪用脆弱性（KEV）リストに追加されたと報道されています。連邦機関に対しては期限付きでの修正適用が求められている旨が伝えられています。
• ベンダは緊急パッチを提供済みで、攻撃は特別に作成されたHTTPリクエストを管理インターフェースへ送ることで成立すると説明されています。

出典:

• The Hacker News報道
• CISAのKEVカタログ（総合案内。個別エントリはカタログで確認ください）: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

何が本当に痛いか（インサイト）

• UCは“島”ではないです。ディレクトリ（LDAP/ADバインド）、メール（ボイスメール通知）、録音・通話課金、SIPトランク、コンタクトセンターなど、企業の心臓部と結節しています。RCEにより設定・プロセス・ファイルへ手が届けば、横方向の踏み台としての価値が高い資産です。
• 「管理UIからOSへ」が示すのは、Webスタック（例：Java/Tomcat系）からシェルが生まれる不自然なプロセスツリーです。これは多くのSOCで共通に監視可能な普遍的シグナルであり、パッチ適用前後のハンティングに転用できる強い軸になります。
• CVSSの数字と“クリティカル”表記に差があったとしても、未認証・ネットワーク経由・ゼロデイ・悪用中の四拍子が揃えば、運用優先度は最上位です。とくに日本の現場でありがちな「音声は触ると落ちる」不安から後回しになる傾向を、今回は逆転させる必要があります。変更ウィンドウの事前周知と代替導線（代表番号の一時転送など）をセットで提示することで、ビジネス側の合意形成が得やすくなります。
• Webexの専用インスタンスは“クラウド＝自動で安全”ではないです。責任分界により、ベンダがプラットフォームにパッチを当てても、お客様側のアプリ設定や連携先の資格情報、通話ルートはそのままです。設定改ざんや認証情報の窃取を想定した確認手順が必要です。

脅威シナリオと影響

以下は公開情報を基にした仮説シナリオであり、MITRE ATT&CKの観点を添えて想定します。

• シナリオ1：公開・誤公開された管理UIからの侵入と横展開

  • 初期侵入: 公開された管理インターフェースへのエクスプロイト（T1190: Exploit Public-Facing Application）です。
  • 実行: Webコンテキストからシェルやスクリプトが起動（T1059: Command and Scripting Interpreter）です。
  • 永続化/権限維持: スケジュール実行・サービス登録・Webシェル設置（T1053: Scheduled Task/Job、T1505.003: Web Shell）です。
  • 資格情報: 設定ファイルや連携用バインド資格情報の窃取（T1552: Unsecured Credentials）です。
  • 発見・横展開: LDAP/メール/録音サーバ/通話課金DBへの到達経路探索と移動（T1046: Network Service Discovery、T1021: Remote Services）です。
  • 指揮統制: HTTPS上のC2で持続（T1071.001: Web Protocols）です。

• シナリオ2：通話経路の改ざんとトールフロード

  • 管理UIからルートパターンやSIPトランク設定を変更し、国際プレミアム番号へ誘導する改ざんです。検知回避目的で夜間に段階的に変更し、通話課金と情報漏えいを狙うケースです。
  • ATT&CKでは構成改変による業務影響（T1565: Data Manipulation）および経済的インパクトの付与（T1499相当の影響領域）として捉えます。

• シナリオ3：通話の盗聴・情報搾取

  • 侵入先でパケットキャプチャや録音系の改変を行い、RTPストリームやボイスメールを抜き取る仮説です。法執行・競争情報・交渉情報の漏洩リスクが現実化します。
  • 技術的には収集（T1005: Data from Local System）、外部送出（T1041: Exfiltration Over C2 Channel）に該当します。

• 事後の兆候（IoC候補の方向性）

  • 管理UIへのアクセス元が通常の管理セグメント外から急増です。
  • Webサーバプロセス配下からの/bin/sh、bash、python、perlの子プロセス生成です。
  • crontabやsystemdの新規ジョブ、想定外のローカルユーザ作成です。
  • ルートパターン、CSS/パーティション、SIPトランクの差分変更です。
  • 国際発信や短時間の反復コールがCDRで急増です。

上記は技術的仮説に基づくもので、実際の手口やIoCはベンダのアドバイザリやCISAの通達で必ず確認する必要があります。

セキュリティ担当者のアクション

優先順位は「露出の遮断」→「適用」→「検証」と「狩り」を併走させることです。

• 直ちに（0〜24時間）

  • 管理インターフェースの外部露出を遮断します。インターネットからの到達、顧客拠点間の広域セグメント、VPNのアドレス帯を含めてACL/VPNポリシーで締めるか、踏み台限定に絞ります。
  • 資産棚卸を実施します。Unified CM、SME、IM&P、Unity Connection、関連Expressway/ゲートウェイ、Webex Dedicated Instanceの管理面の所在を可視化します。
  • パッチ適用計画を即時に確定します。オンプレはベンダ推奨の固定リリースへ、専用インスタンスはベンダ側の適用スケジュールと影響を確認します。
  • 事前バックアップと差分取得を行います。設定、証明書、コールルーティング、ボイスメールストレージのスナップショットと整合性確認を実施します。
  • 暫定防御を敷きます。WAFやRProxyで管理パスを限定し、mTLSやIP制限を有効化します。WAFは完全防御ではない前提で、露出縮小の時間稼ぎに使います。
  • 監視強化をかけます。Webサーバ配下のプロセス生成検知、管理UIへのアクセス元逸脱、CDRの異常発信テンプレートを当てます。

• 短期（24〜72時間）

  • ハンティングを実施します。Webアクセスログの異常パラメータ、長大なクエリ、エラー頻発、認証を伴わない管理系エンドポイント叩きの痕跡を精査します。OS側は新規バイナリ、cron、webroot配下の改変を確認します。
  • 構成差分の監査をします。ルートパターン、トランク、デバイスプール、CTI/録音連携設定、通知用メール・LDAPバインド資格情報の変更有無を点検します。
  • 資格情報のローテーションを計画します。UCが保有するAD/LDAPバインド、SMTP、録音・課金DBの接続資格情報を範囲化し、順次ローテーションします。
  • ログ保全・タイムライン化を始めます。改ざんや横展開の有無を絞り込み、必要に応じて外部IRと連携します。

• 中期（〜7日）

  • 恒久対策を導入します。管理面はゼロトラスト原則で、ユーザ・デバイス・場所の組み合わせで強制し、インターネットからの直接到達を恒久的に廃止します。
  • 変更ガバナンスを強化します。ルーティングやトランクの改変はCAB承認とし、二人承認・即時アラート・差分レビューを標準化します。
  • 検知のプロダクション組み込みを行います。Web→シェルのプロセス相関、管理UIの通常経路プロファイル、CDRのトールフロード検知をユースケース化します。
  • ベンダ通達の定点観測を自動化します。CISA KEVとベンダPSIRTの両方を監視対象にし、該当資産への自動チケット化とエグゼクティブ向けの即時可視化を整えます。

• コミュニケーションの勘所

  • 経営には「音声・会議の停止はBCPの逆回転に直結するため、先に5分止めて未来の5日を守る」というメッセージで合意形成を図ります。
  • コンタクトセンター等の事業部門には、代表番号の代替導線（IVRメッセージ、Webフォーム振替、外部受付委託）を事前に提示して不安を軽減します。

• 追加の実務ヒント

  • 露出確認はEASM/ASMで「管理UIのカタログ化」を先に行い、境界FWの到達がないことに加えて、VPN内からの到達制御も検証します。
  • パッチ後は「再侵入の余地」を消すため、Webroot配下の改変、権限外バイナリ、スケジュールジョブをクリーンに戻します。イメージ再展開が最短の安全策である場合は、ダウンタイムとのトレードオフを事業側と合意します。

メトリクスから読み取れるのは、緊急度と運用可用性への直撃、そして今すぐ打てる手が明確という点です。新規性は限定的でも、ユニファイド・コミュニケーションという“つながっているがゆえの広がり”が、典型的なWeb RCEよりも広い損害曲線を描くところが論点です。優先度は「外に見えている管理面」「人の手を介さず自動で触れる連携部分」「通話ルート」の順で寄せていくのが、現場での実装可能性を高める配列だと考えます。

参考情報

• 報道: Cisco Fixes Actively Exploited Zero-Day CVE-2026-20045 in Unified Communications/Webex
• 公式ガイダンス（総合案内）: CISA Known Exploited Vulnerabilities Catalog
• フレームワーク: MITRE ATT&CK