ISSコラム

CVE-2026-20131 - Cisco FMC（CVSS 10.0 ：Critical）

Cisco Secure Firewall Management Center（FMC） の重大な脆弱性。FortiGuard は 3月後半、この脆弱性を Interlock ランサムウェア攻撃が実際に悪用している と警告しており、CISA も 3月20日の KEV 追加に含めています。重要なのは、単に「Cisco 製品に脆弱性があった」ことではなく、FMC は、ファイアウォールやセキュリティポリシーを集中管理する管理プレーンそのものであり、侵害されると単一ホストの乗っ取りに留まらず、複数のセキュリティ装置とそのポリシー群が一気に攻撃者の手中に入る点が本質的な危険となります。 

このタイプの脆弱性がランサムウェア攻撃で使われる理由は明確で、侵入後に AD や公開サーバ群を個別に探索するよりも、FMC のような中枢装置を握るほうが、通信経路、ポリシー、セグメンテーション構造、許可済み管理通信を短時間で把握できるためです。さらに、管理コンソール上での正規設定変更や一時的なルール挿入は、エンドポイント上のふるまい検知が困難です。境界装置こそ最優先の侵害対象として監査・監視・即時パッチ適用のSLAを定める必要があります。

CVE-2026-20963 - Microsoft SharePoint Server（CVSS 9.8：Critical）

SharePoint Server の脆弱性で現場の防御担当者にとって影響が大きいものでした。デシリアライズ系RCE として扱われ、すでにアクティブな悪用が行われています。SharePoint は単なるポータルではなく、文書、権限、ワークフロー、検索インデックス、時には認証連携や外部コラボレーションを包含する業務中核基盤であるため、攻撃者にとっては一台の Web サーバ侵害ではなく、組織の“業務構造そのもの”への侵入を可能にします。

技術的には、デシリアライズ欠陥は一度成立すると任意コード実行まで短期間で可能で、また WAF 側でシグネチャベース防御をしていても、業務で正規に使われるPOSTリクエストやアプリケーションロジックの内部表現に紛れ込まれると検知が難しくなります。さらに SharePoint 侵害の厄介な点は、その後に続く行動が非常に“正規業務に見えやすい”ことです。攻撃者は文書の閲覧・取得、トークンや接続文字列の抽出、サービスアカウントの悪用、PowerShell 管理操作などを通じて横展開できるため、侵害の初動を逃すとEDR 上では単なる管理操作や業務アクセスの延長線上に見えることが多いです。SharePoint は Exchange と同様に“クラウンジュエル”であり、パッチだけでなく AMSI、管理PowerShell監査、公開面の限定、IISログと認証ログの相関まで含めて監視することが重要です。 

CVE-2026-3502 - TrueConf Clientと公開クライアント面の脆弱性（CVSS 7.8：High）

特定のネットワーク関連コンポーネントに存在する 権限昇格の脆弱性で、悪用には高い権限を持つユーザーであることが前提となります。このため外部からの初期侵入には使われにくく、内部侵害後の横展開や権限強化に利用されるタイプの脆弱性です。攻撃者はログイン可能な状態を確保したうえで、この脆弱性を悪用し、本来アクセスできない機密情報の取得や設定変更を行う可能性があります。ユーザー操作が必要な点は攻撃難易度をわずかに上げますが、内部侵害後であれば悪用は十分可能です。

実務上は、外部侵入リスクよりも 特権アカウント管理（PAM）や内部横展開防止策の有無がリスク評価の中心となります。

本コラムについて

インターネットセキュアサービス㈱（以下、ISS）が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。