はじめに
Cisco Unified Communications Manager(Unified CM、通称 CUCM)に、深刻な SSRF(サーバーサイドリクエストフォージェリ)脆弱性 CVE-2026-20230 が報告されました。2026 年 6 月 3 日にアドバイザリが公開された後、公開 PoC を用いた実際の攻撃が観測され、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)の KEV カタログにも追加されています。CUCM は企業の音声基盤を担う重要システムであり、その特性上、管理インターフェースが内部ネットワークから到達可能な構成も少なくありません。
一方で、公式アドバイザリ上は「回避策なし(No workarounds available)」と記載されており、恒久対処である修正版の適用がすぐに難しい環境では、何を優先すべきか判断に迷う場面もあります。
- CVE-2026-20230 の概要と、SSRF がなぜ root 権限奪取につながるのか
- CVSS スコアは 8.6 なのに Cisco が Critical と評価している理由
- 自環境が影響を受けるかどうかの確認手順(WebDialer の稼働状態チェック)
- すぐにバージョンアップできない場合の緩和策(WebDialer 無効化・アクセス制限)
- 恒久対処となる修正版へのアップグレード方針
先に結論を示すと、本脆弱性の影響を受けるのは WebDialer サービスが有効な環境に限られます。WebDialer はデフォルトで無効のため、有効化していない環境は影響を受けません。有効な環境で修正版適用がすぐに難しい場合は、暫定的に WebDialer サービスを無効化することで攻撃対象領域を除去できます。恒久対処は Unified CM 14SU6 または 15SU5(COP パッチを含む)へのアップグレードです。

CVE-2026-20230 の概要
CVE-2026-20230 は、Unified CM および Unified CM SME(Session Management Edition)の WebDialer サービスにおける、HTTP リクエストの入力検証不備に起因する SSRF 脆弱性です。認証不要(unauthenticated)かつリモートから悪用可能で、CWE 分類は CWE-918(Server-Side Request Forgery)に該当します。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW)
“A successful exploit could allow the attacker to write files to the underlying operating system that could be used later to elevate to root.”
(悪用に成功すると、攻撃者は基盤となる OS 上にファイルを書き込むことが可能となり、それが後に root への権限昇格に利用される可能性があります)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
脆弱性のメカニズム(SSRF から root 権限昇格に至る理由)
SSRF は、本来はサーバー内部でのみ処理されるべきリクエストを、攻撃者が外部から意図した宛先に向けて発行させる脆弱性です。本件では、WebDialer コンポーネントが特定の HTTP リクエストに含まれる入力値を適切に検証しないことが原因となっています。
攻撃者が細工した HTTP リクエストを送信すると、SSRF を通じて Unified CM が稼働する OS のファイルシステムへ任意のファイルを書き込める状態になります。この「任意ファイル書き込み」が起点となり、書き込んだファイルを足がかりとして最終的に root 権限での操作へつながる、という流れです。認証を必要としないため、管理インターフェースにネットワーク的に到達できる位置からリクエストを送れる攻撃者であれば、資格情報を持たずに悪用を試みられる点が、この脆弱性の深刻さを高めています。
本記事では緩和策を理解するために必要な概念レベルの説明に留めますが、要点は「WebDialer への到達性」と「入力検証の不備」の 2 つが揃うことで成立する、という点です。したがって緩和策も、この 2 点のいずれかを遮断する方向で組み立てられます。
CVSS 8.6 なのに SIR が Critical である理由
本脆弱性の CVSS v3.1 ベーススコアは 8.6 で、数値上は High レンジに位置します。ベクターは CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N です。ネットワーク経由(AV:N)・攻撃条件が低い(AC:L)・権限不要(PR:N)・ユーザー操作不要(UI:N)で、スコープ変更あり(S:C)、完全性への影響が高い(I:H)という構成になっています。
一方で Cisco は、この脆弱性の Security Impact Rating(SIR)を、スコアが示す High ではなく Critical と評価しています。その理由を Cisco は明確に説明しています。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW)
“The reason is that exploitation of this vulnerability could result in an attacker elevating privileges to root.”
(その理由は、この脆弱性の悪用が、攻撃者による root への権限昇格を招く可能性があるためです)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
CVSS ベクター上は機密性への影響がなし(C:N)と評価されていますが、実際には任意ファイル書き込みから root 権限の掌握に至る経路が存在します。数値スコアだけで優先度を判断すると実際のリスクを過小評価しかねないため、ベンダーの SIR も併せて確認することが推奨されます。
悪用状況のタイムライン(PoC 公開から CISA KEV 追加まで)
本脆弱性は、公開から実攻撃までの推移が早かった事例です。時系列を整理します。
| 日付(2026 年) | 出来事 |
|---|---|
| 6 月 3 日 | Cisco がアドバイザリ(v1.0)を公開、CVE-2026-20230 を開示。当時は PoC の存在を認識するも実悪用は未確認 |
| 6 月 5 日頃 | 公開 PoC コードの存在が広く報じられる |
| 6 月 22 日頃 | セキュリティ研究者が実環境での悪用試行を観測 |
| 6 月 23 日頃 | 複数のセキュリティ媒体が実際の悪用を報道 |
| 6 月 25 日 | CISA が KEV カタログに追加、連邦機関に 6 月 28 日までの修正を義務付け |
| 7 月 1 日 | Cisco がアドバイザリを v1.1 に更新、「活発な悪用を確認」と追記 |
公開 PoC は短期間で武器化されたとの報告もあり、CUCM のようなインフラ系脆弱性では「PoC 公開」から「実悪用」までの猶予が短いことを示す事例といえます。Cisco 自身も、7 月 1 日の改訂で悪用の事実を正式に反映しています。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW, Version 1.1)
“In June 2026, the Cisco PSIRT became aware of active exploitation of this vulnerability.”
(2026 年 6 月、Cisco PSIRT はこの脆弱性の活発な悪用を認識しました)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
影響範囲と対象バージョン
本脆弱性の影響を受けるのは、Unified CM および Unified CM SME のうち、WebDialer サービスが有効な環境に限られます。WebDialer はデフォルトで無効のため、この機能を有効化していない環境は本脆弱性の影響を受けません。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW)
“To exploit this vulnerability, the WebDialer service must be enabled. WebDialer is disabled by default.”
(この脆弱性を悪用するには WebDialer サービスが有効である必要があります。WebDialer はデフォルトで無効です)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
影響を受ける条件(WebDialer が有効な場合のみ)
WebDialer は、Web アプリケーションやデスクトップアプリケーションからのクリックトゥコール(画面上の電話番号をクリックして発信する機能)を提供するサービスです。この機能を利用するために有効化している環境が、本脆弱性の対象となります。
整理すると、次の 2 条件が揃う環境が実質的なリスクにさらされます。
- WebDialer サービスが有効化されている
- 攻撃者が管理インターフェースへネットワーク的に到達できる位置から HTTP リクエストを送信できる
逆に言えば、WebDialer を有効化していない環境や、管理インターフェースへの到達経路が適切に制限されている環境では、リスクは相対的に低くなります。まずは自環境の WebDialer の稼働状態を確認することが出発点となります(確認手順は後述します)。
対象リリースと修正版(14SU6 / 15SU5 / COP パッチ)
Cisco は修正版をリリースしています。対象リリースと最初の修正版の対応は次のとおりです。
| Unified CM / Unified CM SME リリース | 最初の修正版 |
|---|---|
| 14 | 14SU6 |
| 15 | 15SU5(2026 年 9 月予定)または COP1 |
15 系については、正式な SU(Service Update)である 15SU5 のリリースが 2026 年 9 月予定とされているため、それより早く恒久対処を適用したい場合は COP(Cisco Options Package)パッチの適用が選択肢になります。COP パッチはバージョン固有であり、適用前にパッチに添付された README で対象バージョンや適用条件を確認することが推奨されます。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW)
“Patches are version-specific. Consult the README attached to the patch for details.”
(パッチはバージョン固有です。詳細はパッチに添付された README を参照してください)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
なお、EOL(End of Life)を迎えた古いリリースを運用している場合、そのリリース向けのセキュリティパッチは提供されません。サポート対象外のバージョンを運用している環境では、本脆弱性への対処を、サポート対象リリースへの計画的なアップグレードを検討する契機とすることが推奨されます。
影響有無の確認手順(WebDialer の稼働状態チェック)
自環境が影響を受けるかどうかは、WebDialer サービスの稼働状態を確認することで判断できます。Cisco 公式が示す確認手順は次のとおりです。
- Cisco Unified CM Administration インターフェースにログインする
- Navigation メニューから Cisco Unified Serviceability を選択し、Go をクリックする
- Tools メニューから Control Center – Feature Services を選択する
- CTI Services セクションで、Cisco WebDialer Web Service の現在のステータスが Started(稼働中)か Not Running(停止中)かを確認する
ステータスが Started であれば WebDialer は有効であり、本脆弱性の影響を受ける状態です。Not Running であれば、この機能を経由した悪用の対象にはなりません。

この確認手順は稼働状態を「見るだけ」の操作であり、サービスの稼働に影響を与えません。まず現状を把握し、Started であった場合に次章の緩和策・恒久対処の検討へ進む、という流れになります。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW)
“If the status is Started, WebDialer is enabled.”
(ステータスが Started であれば、WebDialer は有効です)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
すぐに実施できる緩和策
公式アドバイザリ上は「回避策なし(No workarounds available)」と記載されていますが、これは「脆弱性そのものを解消する回避策は存在しない」という意味です。一方で Cisco は、パッチ適用までの間の緩和策(mitigation)として WebDialer サービスの無効化を提示しています。恒久対処である修正版の適用がすぐに難しい環境では、この緩和策が現実的な選択肢になります。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW)
“as a mitigation, administrators may disable the WebDialer service until a patch can be applied.”
(緩和策として、管理者はパッチ適用までの間 WebDialer サービスを無効化できます)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
WebDialer サービスの無効化手順
Cisco 公式が示す WebDialer の無効化手順は次のとおりです。前章の「確認手順」が Control Center – Feature Services 経由だったのに対し、無効化は Service Activation から行う点に注意してください。
- Cisco Unified CM Administration インターフェースにログインする
- Navigation メニューから Cisco Unified Serviceability を選択し、Go をクリックする
- Tools メニューから Service Activation を選択する
- CTI Services セクションで、Cisco WebDialer Web Service のチェックボックスをオフにし、Save をクリックする
この操作により WebDialer サービスが非アクティブ化され、本脆弱性の攻撃対象領域が除去されます。WebDialer への到達性そのものをなくす緩和策であり、パッチ適用までの暫定対応として有効です。

なお、Cisco は緩和策の適用にあたって、環境ごとの妥当性を事前に評価するよう案内しています。緩和策が自環境の機能や性能に与える影響は、導入構成によって異なるためです。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW)
“customers should determine the applicability and effectiveness in their own environment and under their own use conditions.”
(顧客は自身の環境および利用条件のもとで、適用可能性と有効性を判断する必要があります)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
管理インターフェースへのアクセス制限
WebDialer の無効化と併せて、あるいは運用上 WebDialer を停止できない場合の補完策として、管理インターフェースへのネットワークアクセスを信頼できる IP レンジに限定することが考えられます。
本脆弱性は、攻撃者が管理インターフェースへ HTTP リクエストを送信できることが悪用の前提となります。したがって、管理インターフェースへの到達経路をアクセス制御リストやファイアウォールで絞り込むことは、悪用の難易度を引き上げる方向に働きます。CUCM の管理・WebDialer インターフェースをインターネットに直接公開している構成は避け、管理セグメントからのみ到達可能とする構成が推奨されます。
アクセス制限は WebDialer 無効化の代替として完全なものではありませんが、多層防御の観点から、無効化と組み合わせて実施することで攻撃対象領域をさらに縮小できます。

無効化に伴う機能影響(クリックトゥコール停止)の考慮点
WebDialer を無効化すると、クリックトゥコール機能が停止します。WebDialer はコア電話機能(通話そのもの)には必須ではなく、Web アプリケーションやデスクトップアプリケーションから電話番号をクリックして発信する利便機能を提供するものです。したがって、無効化しても基本的な発着信には影響しません。
判断の目安は次のとおりです。
- クリックトゥコールを業務で利用していない、または利用状況が不明な環境: 無効化による実務影響は小さく、緩和策として有力
- クリックトゥコールを業務フローで常用している環境: 無効化による影響を評価したうえで、影響が大きい場合は管理インターフェースのアクセス制限を強化しつつ、修正版適用を優先する
なお、レガシーなクリックトゥコール用途で有効化していたものの現在は使われていない場合は、パッチ適用後に再度有効化するのではなく、そのまま無効のままとして攻撃対象領域を恒久的に減らすという選択も合理的です。
恒久対処: 修正版へのアップグレード
緩和策はあくまでパッチ適用までの暫定的な対応です。Cisco は、恒久的な解決には修正版へのアップグレードを推奨しています。
参考: Cisco Security Advisory(cisco-sa-cucm-ssrf-cXPnHcW)
“Cisco strongly recommends that customers upgrade to the fixed software indicated in this advisory.”
(Cisco は、顧客がこのアドバイザリに示された修正版ソフトウェアへアップグレードすることを強く推奨します)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
対処方針は運用中のリリースによって分かれます。
- 14 系を運用中: 14SU6 へアップグレードする
- 15 系を運用中: 15SU5(2026 年 9 月予定)を待つか、それより早く対処したい場合は COP1 パッチを適用する
15 系で修正版 SU の提供を待てない場合、COP パッチが暫定的な恒久対処として機能します。COP パッチはバージョン固有のため、適用前にパッチ添付の README で対象バージョンと適用条件を確認してください。アップグレードにあたっては、対象機器のメモリ要件や、現行のハードウェア・ソフトウェア構成が新リリースでも引き続きサポートされるかを事前に確認することが推奨されます。
修正版適用のスケジュールがすぐに組めない場合でも、前述の WebDialer 無効化を先行して実施することで、パッチ適用までの期間のリスクを抑えられます。「まず無効化で攻撃対象領域を除去し、その後に計画的に修正版を適用する」という二段構えが、現実的な対処の流れになります。
侵害有無の確認ポイント
本脆弱性は既に実環境での悪用が確認されているため、WebDialer を有効化したまま運用していた環境では、緩和策・恒久対処の適用と併せて、侵害の有無を確認しておくことが推奨されます。ここでは防御側のチェック観点を示します。
ファイルシステム上の不審なファイルの有無: 本脆弱性は OS への任意ファイル書き込みを起点とするため、Web サービスアカウントが書き込み可能なディレクトリに、身に覚えのないファイルが存在しないかを確認する観点が挙げられます。
管理・WebDialer インターフェースへのアクセスログの精査: 想定外の送信元からの不審な HTTP リクエストが記録されていないかを確認します。特に、外部からの到達が想定されない環境で外部 IP からのアクセスが見られる場合は、精査の対象となります。
修正版適用後の事後確認: CISA の BOD 26-04 でも、パッチ適用前に侵害を受けていなかったかを確認する観点が重視されています。緩和策・パッチ適用で終わりとせず、適用前の期間に不審な痕跡がなかったかを振り返ることが推奨されます。
侵害の痕跡が見つかった場合は、単なるパッチ適用では不十分な可能性があります。root 権限奪取まで至る脆弱性であるため、必要に応じてインシデント対応の専門チームや Cisco TAC への相談を検討してください。

まとめ
CVE-2026-20230 は、Cisco Unified CM の WebDialer サービスに存在する SSRF 脆弱性で、認証不要のリモート攻撃から root 権限奪取に至る可能性があります。既に実環境での悪用が確認されており、CISA の KEV カタログにも追加されています。修正版適用がすぐに難しい場合でも、WebDialer 無効化という緩和策で攻撃対象領域を除去できます。
- 影響を受けるのは WebDialer サービスが有効な Unified CM / Unified CM SME 環境のみ
- WebDialer はデフォルト無効のため、有効化していない環境は影響を受けない
- CVSS は 8.6 だが root 権限昇格の可能性から Cisco は SIR を Critical と評価
- 影響有無は Cisco Unified Serviceability の Feature Services で確認可能
- 暫定緩和策は Service Activation からの WebDialer サービス無効化
- 恒久対処は 14SU6 または 15SU5(COP1 パッチ)へのアップグレード
- 悪用確認済みのため緩和策・パッチ適用と併せて侵害有無の確認も推奨
以上、最後までお読みいただきありがとうございました。
