はじめに
2026 年 7 月 13 日、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)は、Cisco IOS の CSRF(クロスサイトリクエストフォージェリ)脆弱性 CVE-2008-4128 を KEV(Known Exploited Vulnerabilities)カタログに追加しました。この CVE は 2008 年に公開されたもので、公開から 18 年を経て「実際に悪用されている脆弱性」として登録された異例のケースです。
対象となる Cisco 871 Integrated Services Router と IOS 12.4 はすでに EOL(End of Life)を迎えており、修正版ソフトウェアの提供は見込めません。つまり本件は「パッチを適用して完了」という通常の脆弱性対応が成立しないケースであり、レガシー機器が残存する環境では、無効化・隔離・リプレースといった別の判断軸が必要になります。
- CVE-2008-4128 の仕組みと悪用シナリオ
- CVSS 4.3(Medium)の脆弱性が KEV に追加されたことの意味
- 修正版が提供されない EOL 機器での緊急対処と緩和策
- 同種のリスクを設計段階から抑えるためのポイント
結論として、本脆弱性への対処はパッチ適用ではなく、HTTP 管理インターフェースの無効化と、EOL 機器そのもののリプレース判断が軸になります。また、スコアの低い古い脆弱性であっても実際に悪用され得ることから、CVSS スコアだけに依存しない優先度判断と、管理サービスを最小化する設計の重要性をあわせて解説します。
CVE-2008-4128 の概要
CVE-2008-4128 は、Cisco IOS 12.4 の HTTP Administration コンポーネント(Web ベースの管理機能)に存在する複数の CSRF 脆弱性です。NVD の説明では、Cisco 871 Integrated Services Router 上で、リモートの攻撃者が任意のコマンドを実行できるとされています。
参考: NVD – CVE-2008-4128 Detail
“Multiple cross-site request forgery (CSRF) vulnerabilities in the HTTP Administration component”
(HTTP 管理コンポーネントにおける複数のクロスサイトリクエストフォージェリ(CSRF)脆弱性)
https://nvd.nist.gov/vuln/detail/CVE-2008-4128
CSRF の仕組みと本脆弱性の悪用シナリオ
CSRF(CWE-352)は、認証済みユーザーのブラウザーを踏み台にして、本人が意図しないリクエストを対象システムに送信させる攻撃手法です。本脆弱性の悪用シナリオは以下のように整理できます。
ルーターの管理者が、IOS の HTTP 管理インターフェースにブラウザーでログインしている(または認証情報がブラウザーに保持されている)
攻撃者は、ルーターの管理 URI(特権レベル 15 でコマンドを実行する URI)へのリクエストを埋め込んだ悪意のある Web ページを用意し、管理者に閲覧させる
管理者のブラウザーが認証済みセッションの権限でリクエストを送信し、攻撃者の指定したコマンドが特権レベル 15(管理者権限)で実行される

ポイントは、攻撃者がルーターに直接アクセスできなくても、管理者のブラウザーを経由することで攻撃が成立し得る点です。管理インターフェースを内部ネットワークに限定していても、管理者の端末がインターネットに接続できる環境であれば、攻撃経路は完全には遮断されません。この「内部にあるから安全とは言い切れない」性質が、CSRF を含むクライアント起点の攻撃の厄介な点です。
なお、本脆弱性は公開当時(2008 年 9 月)に攻撃コードが公開されており、Exploit Database にも登録されています。攻撃手法が長期間公開され続けていたことが、今回の悪用確認の背景にあると考えられます。
CVSS 4.3(Medium)と KEV 掲載のギャップの読み方
本脆弱性の CVSS v3.1 ベーススコアは、CISA-ADP の評価で 4.3(Medium)です。ベクトル文字列は以下のとおりです。
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N| メトリクス | 値 | 意味 |
|---|---|---|
| AV(攻撃元区分) | N(ネットワーク) | リモートから攻撃可能 |
| AC(攻撃条件の複雑さ) | L(低) | 攻撃自体の技術的難易度は低い |
| PR(必要な特権レベル) | N(不要) | 攻撃者自身の認証は不要 |
| UI(ユーザー関与) | R(必要) | 管理者にリンクを踏ませる等の関与が必要 |
| C(機密性への影響) | L(低) | 限定的な情報漏えい |
| I(完全性への影響) | N(なし) | ※後述の注記を参照 |
| A(可用性への影響) | N(なし) | サービス停止への直接影響なし |
ここで注意したいのは、NVD の脆弱性説明では「任意のコマンドを実行できる(execute arbitrary commands)」とされている一方、CISA-ADP のベクトルでは完全性への影響が N(なし)と評価されており、両者に乖離がある点です。NIST 自身によるスコア付与は本記事執筆時点で行われておらず(Base Score: N/A)、掲載されているのは ADP(Authorized Data Publisher)による参考評価です。特権レベル 15 でのコマンド実行が成立する場合、実際の影響はベクトル文字列が示すより大きくなる可能性があるため、スコアを額面どおりに受け取らないことを推奨します。
そして本件の最大の教訓は、CVSS 4.3 という「Medium 止まり」のスコアであっても、実際に悪用され KEV に掲載されたという事実です。CVSS ベーススコアは攻撃の技術的特性の評価であり、「攻撃者が実際に使うかどうか」は反映されません。スコアベースのトリアージだけに依存していると、本件のような「古い・スコアが低い・しかし実際に使われている」脆弱性が対応の網から漏れます。KEV への掲載有無や EPSS のような悪用可能性の指標を組み合わせた優先度判断が、この網漏れを防ぐ現実的な手段になります。
KEV 追加の背景(2026 年 7 月 13 日)
CVE-2008-4128 が 18 年を経て KEV に追加された背景には、この脆弱性が国家支援型の攻撃グループによって実際に悪用されている実態があります。CISA は KEV への追加と同時期に、複数国の情報機関と連名で、レガシールーターを標的とする攻撃活動に関する勧告を公開しました。
CISA「Improve Router Hygiene」勧告(7 月 9 日)との関連
2026 年 7 月 9 日、NSA・CISA・FBI をはじめとする複数国の機関は、共同サイバーセキュリティ勧告「Improve Router Hygiene to Protect Against Russian State-Sponsored Targeting」を公開しました。この勧告では、ロシア連邦保安庁(FSB)Center 16 のサイバー攻撃者が、設定不備・脆弱なネットワーク機器を世界的に悪用しているとされています。
参考: Joint Cybersecurity Advisory – Improve Router Hygiene
“Russian FSB Center 16 cyber actors continue to exploit poorly configured and vulnerable networking devices worldwide.”
(ロシア FSB Center 16 のサイバー攻撃者は、設定不備で脆弱なネットワーク機器を世界規模で悪用し続けている)
https://media.defense.gov/2026/Jul/09/2003959498/-1/-1/1/CSA_IMPROVE_ROUTER_HYGIENE.PDF
この勧告の中で、攻撃者が悪用する CVE として CVE-2018-0171(Cisco Smart Install)とともに CVE-2008-4128 が名指しされています。攻撃グループは、Berserk Bear、Energetic Bear、Dragonfly、Ghost Blizzard、Static Tundra など、セキュリティ業界で複数の呼称で追跡されている主体です。標的とされる重要インフラ分野には、通信、防衛産業基盤、エネルギー、金融サービス、政府機関、医療などが挙げられています。
注目したいのは、この攻撃活動の主たる手法は CVE の悪用ではなく、SNMP の設定不備(デフォルトまたは推測可能なコミュニティストリング)を突いた構成情報の窃取である点です。攻撃者は SNMP スキャンで脆弱な機器を発見し、Set-Request で機器の設定ファイルを TFTP により外部へ持ち出します。CVE-2008-4128 のような脆弱性の悪用は、あくまでその補助的な侵入経路と位置づけられています。この構図は、後述する「設計段階から備えるポイント」を考えるうえで重要な示唆になります。
対応期限 7 月 16 日の意味(BOD 22-01 / 26-04)
KEV への掲載は、米国連邦民間行政機関(FCEB)に対して修正期限を課します。本件の CISA KEV エントリでは、追加日 2026 年 7 月 13 日に対して、対応期限(Due Date)が 7 月 16 日と設定されています。通常の KEV エントリと比べても猶予が短く、当局が本件のリスクを高く評価していることがうかがえます。
KEV の Required Action では、ベンダーの指示に従った緩和策の適用と、BOD 26-04(リスクに基づくセキュリティ更新の優先順位付け)への準拠が求められています。加えて、緩和策が利用できない場合は製品の利用を停止する(discontinue use of the product if mitigations are unavailable)という選択肢が明記されている点が、EOL 機器を抱える組織にとって重要です。
KEV や BOD が直接の義務を課すのは米国連邦機関ですが、CISA は民間を含むすべての組織に対して、KEV 掲載脆弱性の優先的な修正を強く推奨しています。日本の組織にとっても、KEV は「実際に悪用されている脆弱性」を示す実務上の優先度指標として活用できます。
影響を受ける製品と EOL の位置づけ
Cisco 871 ISR / IOS 12.4 のサポート状況
本脆弱性の影響を受けるのは、Cisco IOS 12.4 が動作する Cisco 871 Integrated Services Router です。871 ISR は Cisco 800 シリーズの一世代前の小規模拠点向けルーターであり、IOS 12.4 メインラインとともに、すでに販売終了・サポート終了(EOL)となっています。
前述の共同勧告でも、脚注で本脆弱性の位置づけが明確に示されています。
参考: Joint Cybersecurity Advisory – Improve Router Hygiene
“CVE-2008-4128 only affects end-of-life Cisco devices.”
(CVE-2008-4128 は EOL の Cisco 機器にのみ影響する)
https://media.defense.gov/2026/Jul/09/2003959498/-1/-1/1/CSA_IMPROVE_ROUTER_HYGIENE.PDF
EOL 機器であるということは、この脆弱性に対する修正版ソフトウェアは提供されないことを意味します。前回扱った Catalyst Center の脆弱性のように「修正版へアップグレードする」という定石が、本件では成立しません。したがって対処の軸は、脆弱性のある機能を無効化するか、機器そのものをサポート対象の後継機へリプレースするかのいずれかになります。管理インターフェースの到達性制限という考え方は前回記事と共通するため、あわせて関連記事『Catalyst Center の任意ファイル読み取り脆弱性への対処』も参照してください。
残存レガシー機器の洗い出し方
「自社に 871 ISR はない」と即断する前に、レガシー機器の残存を確認することを推奨します。小規模拠点や旧システムのバックアップ回線など、資産管理台帳から漏れやすい場所に古いルーターが残存しているケースは少なくありません。洗い出しの観点は以下のとおりです。
- 機種と IOS バージョンの棚卸し
-
ネットワーク管理システムや構成管理データベース(CMDB)で、800 シリーズを含む旧世代機種と IOS 12.4 系の稼働状況を確認する。
- HTTP 管理機能の有効状態
-
対象機器で
ip http serverまたはip http secure-serverが有効になっているかを確認する。無効であれば、本 CSRF 脆弱性の攻撃経路は成立しない。 - 管理系プロトコルの露出
-
共同勧告が主眼を置く SNMP について、バージョン(v1/v2c/v3)とコミュニティストリングの設定を確認する。本脆弱性単体だけでなく、勧告が示す攻撃全体の入口となるためである。


なお、EOL 機器は今回の CVE-2008-4128 に限らず、公開後に修正されない既知・未知の脆弱性を抱え続けます。個別の CVE への対処と並行して、EOL 機器の存在自体を管理すべきリスクとして扱うことを推奨します。この観点は後半の設計セクションで扱います。
緊急対処と緩和策
本脆弱性の対象機器は EOL であり、修正版ソフトウェアの提供は見込めません。したがって対処の軸は、脆弱性のある機能(HTTP 管理インターフェース)を無効化すること、管理プレーンへの到達経路を絞ること、そして最終的に機器をリプレースすることの 3 段構えになります。優先度の高い順に整理します。
HTTP 管理インターフェースの無効化
最も直接的かつ即効性のある措置は、脆弱性の存在する HTTP 管理機能そのものを無効化することです。本脆弱性は HTTP Administration コンポーネントの CSRF であるため、HTTP サーバーが動作していなければ攻撃経路は成立しません。
まず、現在の有効・無効を確認します。
show running-config | include ip httpip http server(HTTP)または ip http secure-server(HTTPS)が表示された場合、Web 管理機能が有効です。無効化はグローバルコンフィグレーションモードで実施します。
configure terminal
no ip http server
no ip http secure-server
end
write memory参考: Cisco Guide to Harden Cisco IOS Devices
“The HTTP server can be disabled with the no ip http server command in global configuration mode”
(HTTP サーバーはグローバルコンフィグレーションモードの no ip http server コマンドで無効化できる)
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
HTTP と HTTPS の両方が有効な場合は、両方のコマンドが必要です。CLI(SSH)で機器を運用している環境であれば、Web 管理機能を無効化しても日常運用への影響はほとんどありません。設定変更後は write memory で起動コンフィグへ保存し、再起動後も無効状態が維持されることを確認することを推奨します。
業務上の理由で Web 管理機能を止められない場合は、次善策としてアクセス元を制限します。IOS では ip http access-class により、HTTP サーバーへの接続元を ACL で限定できます。ただし CSRF は管理者のブラウザーを経由する攻撃であるため、接続元 IP による制限だけでは攻撃を完全には防げません。あくまで無効化が第一選択で、アクセス制限はリスク低減にとどまる点に留意してください。
管理プレーンへのアクセス制限
共同勧告が指摘するとおり、攻撃活動の主眼は CVE 悪用よりも SNMP の設定不備にあります。本脆弱性への対処と同時に、管理系プロトコル全体の露出を見直すことを推奨します。管理インターフェースの到達性を制限するという考え方は、製品を問わず有効な緩和策です。関連記事『Catalyst Center の任意ファイル読み取り脆弱性への対処』でも同様の観点を扱っています。
デフォルトや推測可能なコミュニティストリング(public、private 等)が残っていないかを確認します。使用しない場合は無効化し、使用する場合はコミュニティストリングに ACL を適用して、アクセス元を管理端末・監視サーバーに限定します。
! 例: 管理セグメントのみからの読み取り専用アクセスに限定
access-list 10 permit 192.0.2.0 0.0.0.255
snmp-server community <推測困難な文字列> RO 10公式のハードニングガイドでも、コミュニティストリングの適切な選定に加えて、送信元 IP アドレスを限定する ACL の適用が推奨されています。可能であれば、認証と暗号化に対応した SNMPv3 への移行を検討します。
勧告が示す攻撃では、TFTP による設定ファイルの外部持ち出しが行われます。ネットワークからの設定取得を利用していない場合は、no service config により TFTP での構成ファイル探索を無効化できます。また、Telnet を残している場合は SSH(ip ssh version 2)へ統一し、VTY を transport input ssh に限定することを推奨します。
インターネット境界のファイアウォールで、外部から管理系ポート(HTTP/HTTPS、SNMP、Telnet 等)への通信を遮断します。EOL 機器がインターネットから直接到達可能な状態になっていないかは、最優先の確認事項です。
EOL 機器の利用停止・リプレース判断
HTTP 管理機能の無効化は本脆弱性への有効な緩和策ですが、EOL 機器が抱えるリスクの本質は、今後発見される脆弱性に対して修正が提供されない点にあります。CISA の KEV エントリでも、緩和策が利用できない場合には製品の利用停止(discontinue use)が選択肢として明記されています。
リプレースの判断にあたっては、以下の観点で優先度を付けることを推奨します。
- インターネットからの到達性
-
外部から到達可能な EOL 機器は最優先で対処する。BOD 26-04 でも、公開資産上の KEV 掲載脆弱性が優先対象とされています。
- 担う役割の重要度
-
境界ルーターやリモート拠点の唯一の出口となっている機器は、侵害時の影響範囲が広い。
- 管理系プロトコルの露出状況
-
SNMP や Web 管理が有効なまま長期運用されている機器は、勧告が示す攻撃手法の直接の標的になり得ます。
無効化措置は「リプレースまでの時間を稼ぐ手段」と位置づけ、並行して後継機(Cisco 800 シリーズの現行機種や ISR 1000 シリーズ等)への移行計画を立てることを推奨します。


設計段階から備えるポイント
ここまでは既存機器への対処を扱いましたが、本件から得られる教訓は「今回の CVE をどう塞ぐか」にとどまりません。18 年前の、CVSS 4.3 に過ぎない脆弱性が実際に悪用された背景には、「使っていない管理機能が有効なまま放置される」「EOL 機器が資産管理から漏れる」という構造的な問題があります。設計段階で以下を織り込むことで、同種のリスクを繰り返さない体制に近づけます。
管理サービスをデフォルト無効にする設計
Cisco IOS の Web 管理機能は、機器によっては初期状態で有効になっています。CLI で運用する環境では使われないまま有効化され続け、攻撃面だけが残るケースが典型的です。
設計・構築の標準コンフィグに、「使用しない管理サービスは明示的に無効化する」ことを組み込むことを推奨します。具体的には、HTTP/HTTPS サーバー、CDP(信頼できないネットワークに接続するインターフェース)、PAD サービス、service config などが対象です。公式のハードニングガイドは、これらの無効化コマンドを網羅しており、標準コンフィグのベースラインとして活用できます。
重要なのは、この作業を「セキュリティ強化の追加タスク」ではなく、構築時のテンプレートに最初から含めることです。後から一台ずつ棚卸しして無効化する方式は、台数が増えるほど漏れが発生します。
管理プレーン分離とアクセス経路の限定
管理プレーン(機器の設定・監視のための通信)とデータプレーン(利用者トラフィック)を分離し、管理系プロトコルへの到達を管理セグメントからのみに限定する設計を推奨します。
- アウトオブバンド管理
-
可能であれば専用の管理ネットワークを設け、業務セグメントから管理インターフェースへ直接到達できない構成とする。
- 管理端末の限定
-
踏み台サーバー経由でのみ機器へアクセスする運用とし、管理端末からの一般的な Web 閲覧を制限する。本記事で扱った CSRF は管理者のブラウザーを起点とするため、管理作業を行う端末で一般的な Web ブラウジングを行わない運用は、CSRF に対する直接的な防御になります。
- ACL による多層防御
-
機器側の ACL(
ip http access-class、SNMP の ACL)とネットワーク側のフィルタリングを併用し、一箇所の設定漏れが即座に露出につながらない構成とする。
EOL を見据えたライフサイクル管理と資産棚卸し
本件で最も重い課題は、「18 年前の機器がまだ動いている」という状態そのものです。設計・運用の仕組みとして、以下を推奨します。
- 資産台帳への EOL 情報の組み込み
-
機種・OS バージョンだけでなく、EOS(販売終了)・EOL(サポート終了)日を台帳の管理項目に含め、更新期限を可視化する。
- KEV・EPSS を活用した優先度判断
-
CVSS スコアのみで対応要否を決めず、KEV 掲載の有無を「実際に悪用されている」というシグナルとして優先度に反映する。本件はスコア 4.3 でありながら KEV 入りした実例です。
- リプレース予算の計画的確保
-
EOL 到来をイベントではなく既知のスケジュールとして扱い、更新計画を予算サイクルに組み込む。緊急対応としてのリプレースは、計画的な更新よりコストと業務影響が大きくなります。
これらは特別な技術ではなく、日常の設計・運用に組み込めるプラクティスです。脆弱性対応を「CVE が出るたびの個別イベント」から「設計と資産管理の継続的なプロセス」へ引き上げることが、本件から得られる最も実務的な教訓と考えます。
まとめ
CVE-2008-4128 は、2008 年に公開された Cisco IOS の CSRF 脆弱性が、2026 年 7 月 13 日に CISA KEV カタログへ追加された事例です。対象の Cisco 871 ISR と IOS 12.4 は EOL であり、修正版は提供されません。HTTP 管理機能の無効化と管理プレーンの露出削減が当面の対処となり、根本的にはレガシー機器のリプレースが必要になります。
- CVSS 4.3 の脆弱性でも実際に悪用され KEV に追加された事例
- 背景にロシア FSB Center 16 によるルーター標的の攻撃活動
- 対象機器は EOL であり修正版ソフトウェアの提供は見込めない
- 緊急対処は
no ip http serverによる Web 管理機能の無効化 - SNMP のコミュニティストリングと ACL の見直しも同時に推奨
- 使用しない管理サービスは標準コンフィグの段階で無効化
- 資産台帳に EOL 日を組み込みリプレースを計画的に管理
以上、最後までお読みいただきありがとうございました。


