はじめに
本記事は、セキュリティ最新情報を月次でお届けするシリーズの第2回です。Web/クラウド全般・インフラ/ネットワーク・開発者向けセキュリティの3カテゴリをローテーションしており、今回はインフラ/ネットワークをテーマに、2026年2月〜3月の主要なセキュリティトピックをまとめます。
今月のハイライト
- CrackArmor: Linux AppArmor に9件の脆弱性が発見され、1,260万以上のシステムに影響。ローカル権限昇格で root 取得が可能
- Cisco SD-WAN 認証バイパス(CVSS 10.0): 高度な脅威アクターが2023年から悪用していたゼロデイ。CISA が緊急指令を発行
- Fortinet FortiCloud SSO 認証バイパス(CVSS 9.4): FortiGate デバイスを標的とした自動攻撃が拡大
- Windows Patch Tuesday: 2月・3月合計で8件のゼロデイを含む137件以上の修正
- BridgePay ランサムウェア攻撃: 決済ゲートウェイが全面停止し、全米の加盟店でカード決済不能に
重大な脆弱性
Linux カーネル / AppArmor
CrackArmor - AppArmor 権限昇格(CVE-2026-23268 / CVE-2026-23269)
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-23268, CVE-2026-23269 |
| 深刻度 | Critical(公式CVSSスコアは未確定) |
| 公開日 | 2026年3月12日 |
| 影響範囲 | kernel v4.11(2017年)以降、1,260万以上のシステム |
Linux Security Module「AppArmor」に9件の脆弱性が発見されました。特に深刻な2件は以下の通りです。
-
CVE-2026-23268(Confused Deputy): AppArmor のポリシー管理ファイルが world-writable であり、
open()時ではなくwrite()時にのみ権限チェックが行われます。非特権ユーザーがファイルディスクリプタを開き、特権プロセス(su等)を経由してポリシーを操作することで、ローカル権限昇格(root)が可能です - CVE-2026-23269(カーネルメモリリーク): 細工された AppArmor プロファイルにより最大64KiBのカーネルメモリを漏洩可能で、KASLR アドレスの漏洩につながります
コンテナ環境のエスケープにも悪用可能なため、コンテナ基盤を運用している場合は特に注意が必要です。
対策: AppArmor を使用しているディストリビューション(Ubuntu, Debian, SUSE 等)では提供されたパッチを速やかに適用してください。なお、RHEL や Fedora 等 SELinux ベースのディストリビューションは AppArmor を使用していないため影響を受けません。
その他の Linux カーネル脆弱性
| CVE | 深刻度 | 概要 |
|---|---|---|
| CVE-2026-23234 | Critical | F2FS の use-after-free。細工されたファイルシステムのマウントでカーネル権限での任意コード実行が可能 |
| CVE-2026-23232 | Critical | F2FS のデッドロック。チェックポイント操作改善のコミットにより導入された DoS 脆弱性 |
| CVE-2026-23069 | - | virtio VSOCK トランスポートの算術アンダーフロー。仮想化環境でシステムクラッシュを引き起こす |
| CVE-2026-23136 | High | Ceph sparse-read 操作中の状態管理の不備。kernel 6.6〜6.18 に影響 |
Windows Server
2026年2月 Patch Tuesday(6件のゼロデイ、58件の修正)
| CVE | 概要 |
|---|---|
| CVE-2026-21510 | Windows Shell のセキュリティ機能バイパス。悪意あるリンクで保護を回避 |
| CVE-2026-21513 | MSHTML のセキュリティバイパス |
| CVE-2026-21519 | Desktop Window Manager の権限昇格ゼロデイ |
| CVE-2026-21533 | Remote Desktop Services で SYSTEM 権限への昇格 |
| CVE-2026-21525 | Remote Access Connection Manager の DoS。VPN 接続管理に影響 |
いずれもパッチ公開前に悪用が確認されていました。
2026年3月 Patch Tuesday(2件のゼロデイ、79件の修正)
8件の Critical 脆弱性を含む修正が提供されました。
| CVE | 概要 |
|---|---|
| CVE-2026-24294 | Windows SMB Server の権限昇格。SYSTEM 権限の取得が可能 |
| CVE-2026-25187 | Winlogon の権限昇格。SYSTEM 権限の取得が可能 |
修正された脆弱性の内訳は、権限昇格(56%)、RCE(20%)、情報漏洩(12%)となっています。
対策: Windows Update を速やかに適用してください。
ネットワーク機器
CVE-2026-20127 - Cisco Catalyst SD-WAN 認証バイパス
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-20127 |
| CVSS | 10.0(最大) |
| 公開日 | 2026年2月25日 |
| 影響 | Cisco Catalyst SD-WAN Controller/Manager |
ピアリング認証メカニズムの不備により、未認証のリモート攻撃者が管理者権限を取得可能です。SD-WAN ファブリックの設定操作、不正ピアの挿入、ネットワークトラフィックの不正制御が可能になります。
Cisco Talos は脅威アクター「UAT-8616」が少なくとも2023年からこの脆弱性を悪用し、米国通信インフラへの侵入を行っていたことを報告しています。当局は特定の国家への帰属を明示しておらず、「高度に洗練されたサイバー脅威アクター」と評価しています。CVE-2022-20775(CLI 権限昇格)と組み合わせて root レベルの永続性を確保していました。
対策: CISA が緊急指令(ED 26-03)を発行しています。即座にパッチを適用してください。
CVE-2026-24858 - Fortinet FortiCloud SSO 認証バイパス
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-24858 |
| CVSS | 9.4 |
| 影響 | FortiOS, FortiManager, FortiWeb, FortiProxy, FortiAnalyzer |
FortiCloud SSO が有効な場合、FortiCloud アカウントを持つ攻撃者が他のユーザーのデバイスにログイン可能です。2026年1月15日以降、FortiGate デバイスを標的とした自動攻撃クラスターが確認されており、不正アカウント作成、VPN アクセスの有効化、ファイアウォール設定の窃取が観測されています。
対策: FortiOS 7.4.11 以降にアップデートしてください。
CVE-2026-21643 - FortiClient EMS SQL インジェクション
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-21643 |
| CVSS | 9.1〜9.8 |
| 影響 | FortiClient EMS 7.4.4 のみ |
管理 Web インターフェースの /api/v1/init_consts エンドポイントにおけるプリ認証 SQL インジェクションです。データベース接続レイヤーのパラメータ化されたハンドリングが文字列補間に置き換えられたことが原因です。
対策: FortiClient EMS 7.4.5 以降にアップグレードし、Web インターフェースへのアクセスを信頼されたネットワークに制限してください。
CVE-2026-0227 - Palo Alto PAN-OS GlobalProtect DoS
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-0227 |
| CVSS | 7.7(v3.1)/ 8.7(v4.0) |
| 影響 | PAN-OS 10.1 以降(GlobalProtect 有効時) |
未認証の攻撃者がファイアウォールを DoS 状態にし、繰り返しの攻撃でメンテナンスモードに移行させることが可能です。PoC エクスプロイトが存在します。
対策: Palo Alto 提供のパッチを適用してください。
CVE-2026-20079 / CVE-2026-20131 - Cisco Secure Firewall Management Center
| CVE | CVSS | 概要 |
|---|---|---|
| CVE-2026-20079 | 10.0 | ブート時のシステムプロセス不備で認証バイパス。root としてスクリプト実行が可能 |
| CVE-2026-20131 | - | 安全でないデシリアライゼーションで root として任意の Java コード実行が可能 |
対策: Cisco 提供のパッチを適用してください。
主要なセキュリティインシデント
| 組織 | 概要 | 影響規模 | 時期 |
|---|---|---|---|
| BridgePay Network Solutions | ランサムウェアにより決済ゲートウェイが全面停止。全米の加盟店でカード決済不能に | 全米の加盟店・自治体 | 2026年2月 |
| Conduent | サードパーティ侵害。約3ヶ月間潜伏し8TBのデータを窃取 | 2,500万人 | 2026年2月 |
| 南アフリカ DAF | 「Green Blood Group」が139TBのデータ(バイオメトリクス、ID記録含む可能性)を窃取 | 政府インフラ | 2026年1-2月 |
| Substack | セキュリティインシデントでメールアドレス・電話番号等が漏洩 | 約66〜70万ユーザー | 2026年2月 |
| UAT-8616 による SD-WAN 悪用 | Cisco SD-WAN ゼロデイを少なくとも2023年から悪用し通信ネットワークに侵入 | 米国通信インフラ | 2023年〜2026年2月 |
BridgePay のインシデントは、決済インフラという社会基盤がランサムウェア攻撃によって機能停止した事例として注目に値します。FBI・シークレットサービスが捜査に入っています。
OS セキュリティアップデート
Linux
- AppArmor パッチ: CrackArmor 対応のパッチが各ディストリビューションから提供されています。特にコンテナ環境では早急な対応が推奨されます
- F2FS 関連修正: カーネル 6.18.13, 6.19.6 で修正済み。F2FS を利用している環境は確認が必要です
- VSOCK 修正: 仮想化環境(KVM/QEMU 等)を運用している場合は確認してください
Windows Server
2月・3月の Patch Tuesday で合計137件以上の修正が提供されています。特に以下に注意してください。
- RDS 権限昇格(CVE-2026-21533): リモートデスクトップを公開している環境は優先対応
- SMB Server 権限昇格(CVE-2026-24294): ファイルサーバーを運用している環境は優先対応
- Winlogon 権限昇格(CVE-2026-25187): ドメイン環境全体に影響する可能性
ネットワーク機器の脆弱性まとめ
今月はネットワーク機器ベンダー各社から深刻な脆弱性が多数報告されました。
| ベンダー | 件数 | 最大CVSS | 特記事項 |
|---|---|---|---|
| Cisco | 4件 | 10.0 | SD-WAN、Firewall Management Center で CVSS 10.0 が2件 |
| Fortinet | 2件 | 9.4 | FortiCloud SSO は実際に悪用されている |
| Palo Alto | 1件 | 8.7 | PoC エクスプロイトが存在 |
特に Cisco と Fortinet の製品は実際に悪用が確認されているため、パッチ適用の優先度が最も高いです。
プロトコル関連
DNSSEC ルートキーロールオーバー(2026年10月予定)
ICANN が新しい暗号鍵を DNS ルートゾーンの署名に使用する計画を進めています。2026年10月のロールオーバーに向けて、DNSSEC バリデーションを行っている組織は事前準備が必要です。
ポスト量子暗号への移行タイムライン
EU がポスト量子暗号への移行タイムラインを公表しました。
| フェーズ | 期限 | 内容 |
|---|---|---|
| トリアージ | 2026年末 | 暗号資産の棚卸しとリスク評価 |
| 高リスク資産の移行 | 2030年末 | 重要システムの暗号アルゴリズム更新 |
| 全体移行完了 | 2035年末 | 残りのシステムの移行 |
長期的な計画が必要ですが、トリアージのフェーズは今年中が期限です。暗号資産の棚卸しを開始しましょう。
今月のアクションアイテム
- Linux AppArmor パッチの適用: CrackArmor 対応パッチを全サーバーに適用。特にコンテナ環境は優先対応
- ネットワーク機器のファームウェア更新: Cisco SD-WAN、Fortinet FortiOS/FortiClient EMS、Palo Alto PAN-OS のパッチを確認・適用
- Windows Server の累積更新プログラム適用: 2月・3月分の Patch Tuesday を適用。RDS・SMB を公開している環境は優先
- SD-WAN 環境の侵害調査: Cisco SD-WAN を利用している場合、UAT-8616 による過去の侵害がないか IoC を確認
- DNSSEC ロールオーバーの準備確認: 2026年10月のルートキーロールオーバーに向けて、DNSSEC バリデーション設定を確認
参考リンク
Linux / AppArmor
- CrackArmor: Critical AppArmor Flaws Enable Local Privilege Escalation to Root - Qualys
- Nine CrackArmor Flaws in Linux AppArmor Enable Root Escalation - The Hacker News
Windows Server
- Microsoft February 2026 Patch Tuesday - BleepingComputer
- Microsoft March 2026 Patch Tuesday - BleepingComputer
- March 2026 Patch Tuesday - CrowdStrike
ネットワーク機器
- Critical Cisco Catalyst Vulnerability CVE-2026-20127 - Rapid7
- UAT-8616 SD-WAN Exploitation - Cisco Talos
- ED 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems - CISA
- CVE-2026-24858 FortiOS SSO Authentication Bypass - SOCRadar
- CVE-2026-21643 FortiClient EMS Vulnerability - Bishop Fox
- CVE-2026-0227 PAN-OS DoS - Palo Alto Networks
インシデント
プロトコル
おわりに
今月のインフラ/ネットワーク分野では、Linux AppArmor の CrackArmor 脆弱性群と Cisco SD-WAN の認証バイパスが特に重大でした。どちらも広範な影響を持ち、実際の悪用が確認されています。
特に Cisco SD-WAN の CVE-2026-20127 は、高度な脅威アクターが2023年から3年間にわたって悪用していたという事実が衝撃的です。ネットワーク機器の脆弱性は検知が難しく、長期間の侵害につながりやすいことを改めて認識する必要があります。
次回(2026年4月)は開発者向けセキュリティをテーマに、依存パッケージ脆弱性、CI/CD セキュリティ、コンテナ・サプライチェーンに関する最新情報をお届けします。
教育で世界No.1へ。 スプリックスIT戦略部の公式テックブログです🌸 渋谷本部・長岡ラボの2拠点がワンチームとなり、世界展開する教育サービスを支えています! 生成AI活用・モダンな技術スタックへの刷新・地方での組織づくりなど、私たちが日々の開発で得た知見と挑戦の記録をオープンに発信します
Discussion