Cisco脆弱性の衝撃：2023年からの侵入発覚と「侵害前提」で進めるべき初動対応

何が起きたか——2023年から続いていた侵入

米国政府と同盟国が2026年2月に公表した勧告によると、Ciscoのネットワーク機器に存在する重大な脆弱性が、少なくとも2023年頃から世界中の大企業ネットワークへの侵入に悪用されてきた。TechCrunch報道によれば、Cisco自身もこの悪用を認め、組織にパッチ適用を強く促している。

「新たに特定された脆弱性」とされているが、悪用自体は3年近く前から始まっていた可能性がある。発覚したタイミングでパッチを当てても、攻撃者がすでに内部に足場を築き、静かに潜伏していたケースがあり得る。その重さは軽視できない。

「パッチを当てれば終わり」ではない理由

ネットワーク機器の脆弱性対応で経営層が陥りがちな誤解がある。「ベンダーが修正プログラムを出した、情シスが適用した、完了」——この流れを解決と捉えることだ。

今回の件では、悪用が公表より数年前から始まっていた。攻撃者はその間、内部ネットワークを横方向に移動し（ラテラルムーブメント）、認証情報を収集し、バックドアを仕込んでいた可能性がある。パッチは入口を塞ぐが、すでに中にいる攻撃者を追い出す機能はない。

侵害済み前提での点検が必要になる。具体的には次の三点だ。

• 当該機器の過去ログを遡り、不審なアクセスや設定変更の痕跡を確認する
• 管理者アカウントのパスワードと認証情報をリセットし、多要素認証の有効性を再検証する
• 侵害された機器を起点に、社内の他システムへ横展開が行われていないかをネットワークログで追う

これは情シス担当者だけで完結できる作業ではない。ログの保存期間が短ければ過去の痕跡は消えており、外部の専門チームによるフォレンジック調査が必要になる場面もある。経営層が「いつまでに、誰が、何を確認するか」を明示的に決める局面だ。

CISAが機能低下——公的支援を前提にできない現実

本来であれば、重大インシデントで企業が頼れる存在が米国のサイバーセキュリティ機関CISAだ。ところがTechCrunchの報道（2026年2月25日）によると、トランプ政権下での予算削減・人員削減・一時帰休により、CISAは深刻な機能低下に陥っているとされる。超党派の議員やサイバーセキュリティ業界関係者が「有事に対応できる状態にない」と警告している。

日本企業にとっても他人事ではない。グローバルに展開する企業が米国の同盟国向け勧告や脅威情報に依存している構造は変わらず、その情報源が細れば脅威の把握が遅れる。公的機関からの通知を待つ受け身の姿勢では、今後は間に合わない可能性が高まっている。

経営層が今週中に決めるべき三つのこと

技術的な対応は情シスに委ねるとして、経営・管理職層が動かすべき意思決定がある。三点に絞る。

委託先・ベンダーの棚卸しを指示する

Cisco機器を直接運用しているのは自社だけではない。ネットワーク保守を委託しているSIerやMSP（運用保守の外部委託先）がCisco製品を使っているケースも多い。委託先が侵害された場合、その影響は自社ネットワークに及ぶ。「自社では使っていない」という確認だけでなく、主要ベンダーへの確認依頼も必要だ。

ログ保存ポリシーを確認する

過去の侵害を遡って調査するには、ログが残っていなければならない。多くの企業で、ネットワーク機器のログ保存期間は数週間から数ヶ月に設定されており、2023年頃からの痕跡は消えている可能性が高い。今後のために、保存期間と保存先の見直しを情シスに確認させる。これは今週中にできる。

外部専門家のアクセス経路を事前に確保する

インシデントが疑われる段階で初めてフォレンジック会社や専門ベンダーを探し始めるのでは遅い。契約関係や連絡先を事前に整備しておくことが、実際の対応速度を左右する。「誰に電話するか」を決めておくだけで初動が数時間早まる。

まとめ

Ciscoの重大脆弱性は、パッチを当てた時点で終わりではない。2023年から悪用が続いていたという事実は、今この瞬間も侵害済みの状態で運用が続いている企業が存在する可能性を示している。CISAの機能低下が進む中、脅威情報を受動的に待つ体制は機能しなくなりつつある。委託先の棚卸し、ログ保存期間の確認、外部専門家の事前確保——この三つを今週中に動かすことが、現実的な最初の一手だ。