2026年2月に報告された主要なサイバーセキュリティの動向を見ると、組織運営に不可欠なインフラが攻撃者の主要な標的となっていることが確認できます。ネットワーク接続を担う SD-WAN 機器、モバイル端末管理サーバー(MDM)、そしてファイル転送サーバーまで、今月のインシデントの中心には企業運営を直接支えるシステムが位置していました。これらのシステムは本来、内部運用を前提として設計されていますが、実際の環境では運用の利便性やリモート管理の要求により、公共インターネットへ公開されてしまうケースが繰り返し発生しています。この接点が攻撃者に露出した瞬間、単一の脆弱性であっても単なるソフトウェア上の不具合にとどまらず、組織内部へ侵入する経路となる可能性があります。
本稿では、2026年2月に報告された主要なセキュリティインシデント3件を取り上げ、それぞれの事例が示す攻撃パターンと、運用環境における実際のリスク要因を整理します。あわせて、Criminal IP を用いて確認した外部露出資産の状況や、各事例から得られるセキュリティインサイトをまとめることで、現実的なリスク判断のための指標を提示します。
1. Cisco SD-WAN: 境界を崩すゼロデイ (CVE-2026-20127)
概要
2月に報告されたインシデントの中でも特に影響が大きかったのが、Cisco SD-WAN ソリューションで発見されたゼロデイ脆弱性(CVE-2026-20127、CVSS 9.8)です。SD-WAN は、リモート拠点と本社ネットワークを接続する現代の企業インフラにおいて中核的な役割を担っています。本脆弱性は vManage 管理コンソールに存在するコマンドインジェクション(Command Injection)の欠陥に起因し、認証されていない攻撃者がリモートからシステム権限を取得し、ネットワーク全体のトラフィックフローを操作または傍受できる可能性があります。CISA は発見直後、この脆弱性を KEV カタログに追加し、迅速な対応を強く求めました。
この脆弱性が特に危険視される理由は、攻撃者が単一のサーバーを侵害するだけでなく、企業全体の「ネットワーク神経網」を制御できる可能性がある点にあります。SD-WAN の管理権限が奪取された場合、攻撃者は拠点間トラフィックを傍受したり、セキュリティポリシーを無効化して内部ネットワークの奥深くへ侵入する経路を自由に作り出すことが可能になります。
インターネットからアクセス可能な Cisco 資産の分析結果
Criminal IP 検索クエリ: service:https AND product:Cisco
Cisco の機器およびサービスは、さまざまなネットワークインフラ環境で利用されており、管理インターフェースやサービスポータルが HTTPS ベースで運用されているケースが多く見られます。上記のクエリによる検索結果では、HTTPS サービスを提供する Cisco 関連資産が 17,976 件公開されていることが確認されました。この検索結果は、特定の製品や脆弱性に限定したものではなく、外部から直接アクセス可能な Cisco インフラ資産の存在を把握することを目的としています。特に SD-WAN のようなネットワーク制御機器の管理インターフェースがインターネット上で識別可能な場合、脆弱性の有無にかかわらず、攻撃者が初期侵入ポイントとして探索する可能性が高まります。
Criminal IP インサイト
今回 Cisco SD-WAN ソリューションで発見されたゼロデイのような脆弱性が悪用され、機器が侵害された場合、それは事実上、企業ネットワークセキュリティの「入口の鍵」を攻撃者に渡してしまうことを意味します。SD-WAN 機器は組織全体のネットワークポリシーと通信経路を制御する管理プレーンに位置しているため、単一機器の侵害がそのまま内部ネットワーク全体への侵入につながる可能性が高いです。
前述の Criminal IP IT資産検索 の結果のように、関連資産のインスタンスが外部から識別可能であるという事実自体が、潜在的な初期侵入経路が存在することを意味します。実際の運用環境では、このような管理インターフェースが組織内部で認識されないまま外部に公開されているケースが繰り返し確認されています。そのため、脆弱性対応の出発点は単なるパッチ適用ではなく、企業資産が外部からどのように識別されているのかを把握する可視性の確保にあります。外部からアクセス可能な管理接点を早期に特定し遮断することが、SD-WAN のような重要インフラへの侵害リスクを根本的に低減する最も現実的な対策と言えます。
2. Ivanti EPMM: Pre-Auth 脆弱性の悪用拡大(CVE-2026-1281 / CVE-2026-1340)
概要
Ivanti の Endpoint Manager Mobile(EPMM)において、コードインジェクションに起因する脆弱性 CVE-2026-1281 および CVE-2026-1340 が公開されました。特に CVE-2026-1281 は公開直後から大規模な自動化スキャンと実際の悪用が観測されています。本件で特に注目すべき点は、「初期侵入ブローカー(IAB)」の動きです。これらの攻撃者は、脆弱なサーバーを発見して即座にデータを窃取するのではなく、「スリーパー(Sleeper)」ウェブシェルと呼ばれる潜伏型マルウェアをメモリ上に設置し、長期的なアクセス権を確保する手法を用いています。
この手法の目的は、即時の攻撃ではなく、長期間検知されないアクセス権を維持することにあります。攻撃者は後にそのアクセス権を他の脅威アクターへ販売したり、後続攻撃の足掛かりとしてシステムを利用する可能性があります。実際に観測された攻撃でも、マルウェアが直ちに実行されるのではなく、特定の条件やトリガーが発生した際にのみ起動する挙動が確認されています。
Ivanti 関連の公開資産の分析結果
Criminal IP 検索クエリ: title: Ivanti
Criminal IP の IT資産検索 を用いて Ivanti 関連の公開資産を調査した結果、合計 190,275 件のインスタンスが確認されました。これは、Ivanti ベースのシステムが相当数インターネット上に公開されており、攻撃者にとって優先的な探索対象となる可能性が高いことを示しています。さらに、一部の資産では高リスク評価と複数の脆弱性が同時に確認されており、早急なセキュリティ点検が必要であることが明らかになりました。
Criminal IP インサイト
Ivanti EPMM は、組織のモバイル端末ポリシーや認証体系を管理する中核的な MDM インフラであり、管理インターフェースが外部からアクセス可能な状態で公開されている場合、脆弱性が悪用されるリスクが大きく高まります。特にこのような管理プラットフォームは、運用上の利便性やリモート管理の要件により、意図せず公共インターネットに公開されてしまうケースが繰り返し発生しています。したがって、対応の要点は単なる脆弱性パッチの適用にとどまらず、外部からアクセス可能な管理接点が存在するかどうかを優先的に確認することにあります。また、パッチ適用前の侵害の可能性も考慮し、アクセスログや IOC に基づく調査を実施する必要があります。必要に応じてアプリケーションサーバーの再起動などを行い、潜在的なマルウェアや不正コードの痕跡を除去する手順も併せて実施することが重要です。
3. SolarWinds Serv-U: ファイル転送サーバーを狙う4件の重大な RCE
概要
企業の機密データをやり取りする SolarWinds Serv-U において、4件のクリティカルな RCE(リモートコード実行)脆弱性が同時に修正されました。
- CVE-2025-40538
- CVE-2025-40539
- CVE-2025-40540
- CVE-2025-40541
今回の脆弱性はいずれも、攻撃者がシステム管理者アカウントを作成したり、root 権限で任意コードを実行できる可能性がある欠陥です。攻撃を成立させるには高いレベルの初期アクセス権が必要という制約はありますが、フィッシングや認証情報スタッフィングによって1つのアカウントでも奪取されれば、ファイルサーバー全体が攻撃者に悪用される可能性があります。ファイル転送サーバーは組織内部のデータが外部へ移動する重要な経路に位置しているため、侵害された場合は単なるサービス障害にとどまらず、大規模なデータ流出へと発展するリスクが高いと言えます。
Serv-U 関連の公開資産の分析結果
Criminal IP 検索クエリ: product:Serv-U
上記のクエリは、Serv-U ソフトウェアが識別される資産を基準に、インターネット上で確認可能な Serv-U インスタンスを探索するための条件です。分析の結果、合計 263,382 件のインスタンスが確認されました。この結果は、Serv-U ベースのファイル転送サーバーが多くの企業および組織環境で広く運用されていることを示しています。ファイル転送サーバーは、内部システムと外部ユーザーまたはパートナーとの間でデータ交換を担うケースが多いため、インターネット上で識別可能なインスタンス数そのものが、潜在的な攻撃対象領域の規模を示す指標と解釈できます。
ただし、上記の検索結果は Serv-U が識別される全体の資産規模を示すものであり、実際に外部から直接アクセス可能なサービス接点がどの程度存在するかについては、別途確認する必要があります。そのため、より具体的に把握する目的で、Serv-U インスタンスの中でも Web ベースのサービスが外部から応答している資産を追加で分析しました。
Criminal IP 検索クエリ: product:”Serv-U” AND service:https
フィルターを追加して検索した上記のクエリは、Serv-U ソフトウェアが識別される資産のうち、HTTPS ベースのサービスが外部から応答しているシステムを探索するための条件です。Serv-U は Web ベースの管理インターフェースやファイル転送ポータルを HTTPS で提供するケースが多いため、このクエリによりインターネットから直接アクセス可能な Serv-U サービス接点を確認することができます。
分析の結果、合計 2,271 件の資産が公開されていることが確認されました。これは、Serv-U ベースのファイル転送サーバーの一部が公共インターネットから直接アクセス可能な形で運用されていることを示しています。これらのシステムが脆弱性の影響を受けるバージョンで運用されている場合や、管理アカウントのセキュリティが不十分な場合には、単一サービスの侵害にとどまらず、内部データへのアクセスやさらなる侵入経路へとつながる可能性があります。
Criminal IP インサイト
Serv-U のようなファイル転送サーバーは、内部システムと外部パートナー間のデータ交換を担う重要なインフラであり、侵害された場合には機密情報の流出につながる可能性が高くなります。特にこの種のサービスは、運用上の利便性や外部との協業を目的としてインターネットへ直接公開されるケースが多く、攻撃者にとって魅力的な標的となります。そのため、Serv-U 環境では最新バージョンへのアップデートに加え、管理アカウントのセキュリティ強化(MFA の適用、アクセス可能 IP の制限)が重要です。また、ファイル転送サーバーが公共インターネット上で直接識別可能な状態になっていないかを点検し、不要な外部アクセスを最小限に抑えることが求められます。
FAQ
Q1. なぜ SD-WAN、MDM、ファイル転送サーバーのような運用インフラが攻撃者の主要な標的となるのでしょうか。
これらのシステムは、組織のネットワーク接続、端末管理、データ交換を担う中核的な運用インフラに該当します。攻撃者がこれらのシステムを掌握した場合、単一サーバーの侵害にとどまらず、ネットワーク構成の変更、ユーザー端末の制御、内部データへのアクセスなど、組織全体に影響を及ぼす可能性があります。特に管理インターフェースや制御プレーンが外部からアクセス可能な状態で公開されている場合、単一の脆弱性だけでも高い権限を取得できる可能性が大きく高まります。そのため、攻撃者はこれらのインフラを主要な標的として攻撃を行います。
Q2. 脆弱性が公開された後、組織はどのような対応を優先すべきでしょうか。
まず、該当する脆弱性のパッチを迅速に適用することが基本的な対応となります。しかし、Ivanti EPMM の事例のように既に実際の悪用が確認されている場合、パッチ適用以前に侵害が発生していた可能性も考慮する必要があります。そのため、パッチ適用後もアクセスログの確認、アカウント変更の有無の確認、不審な管理者ログイン履歴の調査など、侵害の有無を確認する手順を併せて実施することが重要です。また、管理インターフェースが公共インターネットから直接アクセス可能な状態で運用されていないかを確認し、必要に応じてアクセス制御やネットワーク制限を適用することが求められます。
結論
2026年2月のセキュリティインシデントは、新しい攻撃技術の登場というよりも、外部に露出した運用インフラがいかに迅速に攻撃経路へと転換され得るかを改めて示しました。SD-WAN は組織ネットワークの制御プレーンを担い、EPMM はモバイル端末管理の中核を担い、Serv-U は内部と外部を結ぶデータ転送経路に位置しています。これらの重要なシステムが外部から識別可能な状態で存在する場合、脆弱性は単なる技術的欠陥にとどまらず、実際の侵入シナリオへと発展する可能性が高まります。
最終的に、セキュリティ対応の出発点は単なるパッチ適用ではなく、組織インフラが外部からどのように見えているのかという可視性の確保にあります。Criminal IP ASM のような攻撃対象領域管理ソリューションを活用し、外部から識別可能な資産を先に把握するとともに、管理インターフェースの公開状況を継続的に点検することが重要です。このような可視性に基づくセキュリティ体制こそが、現代の企業インフラを守るための最も現実的な防御戦略と言えるでしょう。
なお、関連して サイバーセキュリティ・ティータイム:2026年1月の主要トピックを抽出 の記事も参考にしてください。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), SECURITYWEEK(https://www.securityweek.com/solarwinds-patches-four-critical-serv-u-vulnerabilities/), The Hacker News (https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html), HELP NET SECURITY (https://www.helpnetsecurity.com/2026/02/11/ivanti-epmm-sleeper-webshell/)
