シスコの電話システムに脆弱性、悪用が始まり至急更新を CVE-2026-20230

多くの企業が社内の電話システムに使う「Cisco Unified Communications Manager（Unified CM）」に、認証なしで悪用できる脆弱性が見つかりました。管理番号は CVE-2026-20230。すでに実際の攻撃が確認されており、米政府の専門機関が緊急の対応を呼びかけています。

この欠陥を突かれると、攻撃者は外部からサーバーに勝手にファイルを書き込み、最終的にシステムの最高権限（root、何でもできる管理者権限）まで奪える恐れがあります。米国土安全保障省の下部組織CISAは2026年6月25日、これを「実際に攻撃に使われている脆弱性リスト（KEV）」に追加し、政府機関に6月28日までの対応を義務付けました。

ただし、すべての利用組織がすぐ危険というわけではありません。攻撃の成立には特定の設定が必要で、その設定は初期状態ではオフになっています。自分の組織が当てはまるかを含めて、順に説明します。

Cisco Unified CMとは何をするものか

Unified CMは、会社の電話やビデオ会議をまとめて制御するソフトウェアです。社員の内線番号の管理、発着信の振り分け、IP電話機やソフトフォンの接続などを一手に担う、いわば「社内電話交換機の頭脳」にあたります。中規模から大企業、コールセンター、官公庁まで幅広く導入されており、止まると社内外の通話が一斉に使えなくなる重要な土台です。

今回問題が見つかったのは、Unified CM本体と、複数拠点をまとめる上位版「Unified CM Session Management Edition（SME）」の両方です。電話の基盤がインターネット越しに乗っ取られかねないという点で、影響は通話だけにとどまりません。

外部からファイルを書き込まれ、最高権限まで奪われる

問題の正体は、SSRFと呼ばれる種類の欠陥です。SSRF（サーバーサイド・リクエスト・フォージェリ）とは、外部の攻撃者が細工した要求を送りつけ、サーバー自身に攻撃者の意図した通信や処理を「肩代わり」させる手口を指します。

今回は、Unified CMが特定のHTTP要求（Webのやり取りに使う通信）の中身を十分に確かめないまま処理してしまう点が原因です。シスコの公式な注意喚起によると、攻撃者は認証なし・遠隔から細工した要求を送るだけで、サーバーの土台となるOSに任意のファイルを書き込めるようになります。

恐ろしいのはその先です。脆弱性を最初に報告したセキュリティ企業SSD Secure Disclosureの技術解説によれば、この「ファイルを書き込める」性質を足がかりに複数の弱点を組み合わせることで、サーバー上で自由にプログラムを実行し、最終的にroot権限まで昇格できるとされています。電話の管理サーバーが、丸ごと攻撃者のものになりかねないということです。危険度は10段階で示す指標（CVSS）で8.6ですが、シスコは「最高権限の奪取につながる」として、独自の深刻度評価を最上位の「Critical（緊急）」に引き上げています。

誰が、何のために狙うのか

この欠陥を狙うのは、インターネット側から企業の電話管理サーバーに直接たどり着ける攻撃者です。認証情報を盗む必要も、社内に潜り込む必要もありません。公開されている攻撃用のコードを使えば、技術力の高くない攻撃者でも試せてしまう状態です。

その狙いは、電話サーバーを入り口にして社内ネットワークの最高権限を握り、そこから奥へ侵入を広げることです。電話の基盤は社内の他のシステムと密につながっていることが多く、ここを取られると、通話の盗聴やなりすまし発信だけでなく、社内全体への足がかりにされます。

電話交換機のような「縁の下の装置」は、日々の業務で誰も意識しないまま動き続けます。だからこそ、侵入されても気づかれにくく、攻撃者にとって居座りやすい標的になります。シスコ製品では過去にも、管理システムの欠陥から最高権限を奪う攻撃が繰り返し問題になってきました。ネットワーク管理ソフトSD-WAN Managerでの権限昇格もその一例で、企業インフラの管理画面は攻撃者が常に狙う場所です。

すでに実際の攻撃が始まっている

シスコがこの脆弱性と修正版を公開したのは2026年6月3日でした。それから約3週間後、実際に悪用する動きが観測されています。脅威情報を扱うDefused社は、自社のおとりサーバーに対し、単一の発信元から攻撃が来ていることを確認しました。攻撃は file:// という形式のファイル書き込み要求を使い、/tmp/cve-2026-20230-test.txt というテスト用ファイルを書き込もうとするもので、脆弱なサーバーを探し出す偵察段階とみられています。

← スワイプで移動

自分の組織は影響を受けるのか

ここが今回いちばん大切な点です。攻撃が成立するには、Unified CMの「WebDialer」というサービスが有効になっている必要があります。WebDialerは、パソコンの画面から電話発信を行うための機能です。そしてシスコによれば、この機能は初期状態では無効になっています。

つまり、脆弱なバージョンを使っていても、WebDialerを使っていなければ直ちに悪用される状態ではありません。逆に、業務でWebDialerを有効にしている組織は危険度が高く、最優先で対応すべきです。まずは自社のUnified CMでWebDialerを使っているかを管理画面で確認してください。下の表で、自分のバージョンが対象かどうかを照らし合わせられます。

今すぐやるべき対策

対応は2段構えで考えると分かりやすいです。本命は修正版の適用、急場しのぎは機能の停止です。

1. 修正版へ更新する（本命）。 14系は14SU6以降へ、15系は15SU5（リリースは2026年9月予定）へ更新します。15系をすぐ守りたい場合は、シスコが提供する個別の修正パッチ（COPファイル）を当てる方法があります。SME（上位版）も同様に該当する修正版を適用してください。正確な対象と入手先は、必ずシスコの公式アドバイザリで確認します。

2. すぐ更新できないなら機能を止める（急場しのぎ）。 業務でWebDialerを使っていない場合は、管理ツール（Cisco Unified Serviceability）から「Cisco WebDialer Web Service」を無効にすると、攻撃の経路をふさげます。ただしこれは一時的な回避策であり、根本対応は修正版の適用です。

この脆弱性はすでにCISAの「実際に攻撃されている脆弱性リスト（KEV）」に載っており、対応期限は6月28日に設定されています。政府機関向けの期限ですが、悪用が始まっている以上、民間企業もこの日を目安に急いで対応するのが安全です。同種の管理画面の脆弱性は、過去のシスコ製品でも緊急対応が求められた例があります。

確認しておきたい点

電話の基盤こそ、見落とされやすい急所

今回の脆弱性は、修正版が出てから約3週間後に悪用が始まりました。パッチ公開から実際の攻撃までの時間は、年々短くなっています。「重要なサーバーだから、検証してから慎重に更新したい」という判断が、かえって攻撃者に時間を与えてしまう構図です。

幸い、今回は攻撃の条件（WebDialerの有効化）がはっきりしており、機能の停止という即効性のある回避策もあります。まずは自社の設定を確認し、当てはまるなら修正版の適用か機能の停止を急ぐ。電話交換機のように普段は意識しない土台こそ、攻撃者が静かに狙う急所だという前提で点検することが、被害を防ぐ近道になります。

参照元

• ▸ Cisco - Security Advisory cisco-sa-cucm-ssrf-cXPnHcW（CVE-2026-20230）
• ▸ NVD - CVE-2026-20230 詳細
• ▸ CISA - Known Exploited Vulnerabilities Catalog
• ▸ BleepingComputer - Cisco Unified CM flaw CVE-2026-20230 now exploited in attacks
• ▸ Security Affairs - Cisco Unified CM flaw actively exploited in the wild
• ▸ CSO Online - Attackers exploit Cisco Unified CM flaw weeks after patch release
• ▸ Horizon3.ai - CVE-2026-20230: Cisco Unified CM SSRF