チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「CISAのKEVに載った脆弱性って、結局どれから直せばいいでしゅか?」
「Ciscoのゼロデイにパッチがまだ無いって、放置するしかないんでしゅか……」
チップスうち、Cisco機器もChromeも使ってるでしゅ……全部一気に直すのは無理でしゅよ。
ボスふふふ、慌てる必要はない。KEVは「いま実際に攻撃されている」リストだ。優先順位の付け方を知れば、限られた手で守れるところが見えてくるな。
本記事では、CISAがKEVカタログに追加したCisco・Chrome・Aristaの3件の脆弱性について、何が起きていて何を先に直すべきかを整理します。
読み終える頃には、KEV追加3件をどの順番でどう手当てするかの方針が手に入ります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずはCISAが今回追加した3つの脆弱性が、それぞれ何を突いているのかを整理します。
CISAは、実際に悪用が確認された脆弱性をまとめたKEVカタログに、今回3件を追加しました。
とくに深刻なのがCisco Catalyst SD-WAN Manager(CVE-2026-20245)で、出力エスケープの不備により権限昇格が起きます。
netadmin権限を持つ認証済みの攻撃者が細工したファイルをアップロードすると、root権限で任意のコマンドを実行できてしまう仕組みです。
Ciscoはこの欠陥がゼロデイとして悪用され、エッジデバイスへ設定変更がプッシュされた限定的な事例を確認したと説明しています。
残る2件はGoogle Chrome(CVE-2026-11645)とArista EOS(CVE-2026-7473)で、どちらも実環境での悪用が確認されています。
3件の要点は以下のとおりです。
| CVE | 対象 | 内容 |
|---|---|---|
| CVE-2026-20245 | Cisco Catalyst SD-WAN Manager | 出力エスケープ不備でroot権限の任意コマンド実行、ゼロデイ悪用中 |
| CVE-2026-11645 | Google Chrome(V8エンジン) | 境界外の読み書きでサンドボックス内の任意コード実行 |
| CVE-2026-7473 | Arista EOS | 比較処理の不備で未設定トンネルのトラフィックを処理 |
チップスChromeの脆弱性って、Edgeとかにも関係するんでしゅか?
ボス鋭いな。V8はChromium共通のエンジンだ。EdgeやOperaなどChromium系ブラウザにも影響が及びうる。だからChrome更新だけでは足りないと考えるべきだな。
3件は性質が異なり、パッチの有無も違うため、手当ての順番を分けて考える必要があります。
もっとも厄介なのがCiscoのCVE-2026-20245で、現時点でパッチが開発中、しかも公式の回避策もありません。
悪用にはnetadmin権限が必要なため、管理インターフェースへの到達経路を絞り込むことが当面の現実解になります。
具体的には、SD-WAN Managerの管理アクセスを信頼できる経路だけに限定し、認証情報の使い回しを断つ運用が有効です。
ChromeのCVE-2026-11645は最新版への更新で塞げるため、Chromium系を含めたブラウザの自動更新を確実に回すのが先決です。
Arista EOSのCVE-2026-7473は、既存設定が壊れるリスクを理由に修正パッチが予定されておらず、設定による緩和で対処する設計になっています。
優先度の付け方をまとめると次のとおりです。
3件のうちパッチで完結するのはChromeだけです。
Ciscoは経路の遮断、Aristaは設定緩和と、それぞれ「直す」以外の守り方が要る点が今回の難しさになります。
チップスパッチが無いのに期限だけ来るのは、けっこうつらいでしゅ……。
ボスそこで効くのが経路の遮断と権限の最小化だ。攻撃に必要な前提を1つでも崩せば、悪用は格段に難しくなる。守りは「直す」だけではないということだな。
今回のKEV追加は、Cisco・Chrome・Aristaのいずれも実環境で悪用が進んでいる点が共通しています。
とくにCiscoはゼロデイでパッチも回避策も無いため、管理アクセスの遮断と権限の見直しを先に動かす必要があります。
Chromeは更新で塞ぎ、Aristaは設定緩和で対処と、脆弱性ごとに守り方を分けて2026年6月23日を目標に手を打つのが現実的です。
こうした優先順位付けと緩和策の設計を現場で回したい方は、ぜひセキュリティフリーランス案件で多様な環境を経験してみてください。
参考: Help Net Security「Cisco SD-WAN 0-day exploited (CVE-2026-20245)」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
