Exchange・Cisco SD-WAN・NGINX：5月第3週の重大ゼロデイと攻撃AI化の潮流

今月後半のインシデント概観
事例：Microsoft Exchange ServerのゼロデイXSS（CVE-2026-42897）
事例：Cisco Catalyst SD-WAN Controllerの認証バイパス（CVE-2026-20182）
事例：NGINXのヒープバッファ溢れ（CVE-2026-42945）
事例：AIによるゼロデイ探索の高度化（Google報告）
共通する教訓
業種別影響
一枚要約
今日着手できる3アクション
AI×セキュリティの観点
用語ミニ解説
編集後記
参考リンク

今月後半のインシデント概観

前回記事では「AI生成エクスプロイトによる2FA突破・LLMプロキシ標的・Linux権限昇格」を整理しました。2026年5月第3週（12〜18日）は、その潮流がより広範な製品に波及した週となりました。Microsoft Exchange Server・Cisco Catalyst SD-WAN¹・NGINXという企業インフラの中核製品を狙ったゼロデイ²攻撃が相次いで公表され、同時にGoogleがAIを使ったゼロデイ探索の高度化を公式に報告しています。本稿ではこの4事例を「インフラ製品の同時多発ゼロデイ」という視点から深掘りします。

事例：Microsoft Exchange ServerのゼロデイXSS（CVE-2026-42897）

2026年5月15日、MicrosoftはExchange Serverに存在するクロスサイトスクリプティング³（XSS）脆弱性CVE-2026-42897の緊急緩和策を公表しました（CVSS v3.1: 6.1 / MEDIUM、CWE-79）出典。攻撃者はOutlook on the web経由で被害者ブラウザ上に悪意あるスクリプトを実行させ、セッション乗っ取り・認証情報窃取・送信者なりすまし（スプーフィング）が可能になります（サーバー側のリモートコード実行（RCE）とは異なる、ブラウザサイドの攻撃です）。本脆弱性はオンプレミス Exchange Server 固有であり、Microsoft 365（Exchange Online）利用者は対象外です。同日CISAはKEVカタログ⁴に追加（FCEB 機関は 5/29 期限）出典。

何が問題か：恒久パッチはまだ提供されておらず、Microsoftが公開したのは緩和策のみです。Outlook on the webを有効化しているオンプレミスExchangeは、現時点で脆弱な状態が続きます。なお、BOD 22-01 に基づくパッチ期限は連邦民間行政機関（FCEB：国防総省・情報機関を除く連邦行政機関）のみに法的義務を課すもので、民間企業への直接の法的拘束力はありません。ただし金融・医療・防衛等の規制業種では、業種別規制（OCC/FRB/FDIC 監督指針、HIPAA Security Rule、CMMC 2.0 等）により KEV 相当の脆弱性への迅速対応が事実上義務付けられるケースが多くあります。

2026年5月18日時点、CVE-2026-42897 の恒久パッチは未リリース。Outlook on the web を有効化したオンプレミス Exchange は脆弱なまま稼働中です。Microsoft 公開の緩和策（OWA 経路フィルタリング・ヘッダー検査）を即時適用してください。

対策：Microsoft が公開した緩和策をただちに適用します。オンプレミス Exchange を運用している場合は Outlook on the web の一時的な無効化も検討に値します。あわせて Exchange Server の IIS/OWA アクセスログ（%ExchangeInstallPath%Logging\HttpProxy\OWA）に不審な script タグやエンコードされたペイロードを含む HTTP リクエストがないか、Windows イベントログで OWA ワーカープロセスからの外部通信がないかを確認します。恒久パッチが提供され次第、最優先で適用します。

事例：Cisco Catalyst SD-WAN Controllerの認証バイパス（CVE-2026-20182）

2026年5月14日、CiscoはCatalyst SD-WAN Controller（複数の企業拠点間のWAN経路制御を担うネットワーク基盤）に存在する重大な認証バイパス脆弱性CVE-2026-20182が野外で悪用されていることを警告しました出典。攻撃者は認証をすり抜けてControllerに管理者権限でアクセスでき、配下の全拠点ネットワークを掌握できる状態になります。米当局もこの脅威を受けて、米政府機関に侵害調査を含む緊急対応を要請しています出典。

何が問題か：SD-WAN は複数拠点を一つの論理ネットワークで束ねる設計上、Controller が制圧されると支社・工場・クラウドへの横展開が容易になります。公開直後から実攻撃が観測されており、パッチ提供は始まったものの適用が遅れる組織で侵害が進行するリスクが続いています。

対策：Cisco 公式のセキュリティアドバイザリに従い、Controller への管理アクセスを VPN + 特定 IP に絞る ACL 設定で制限します。vManage の Administration > Audit Log で直近 72 時間の API 呼び出しと権限変更操作を精査し、/dataservice/ への未認証アクセスや管理者ロール付与操作の有無を確認します。パッチが提供され次第、緊急変更管理プロセスを通じて最優先で適用します。

事例：NGINXのヒープバッファ溢れ（CVE-2026-42945）

F5 は 2026年5月13日に NGINX Plus および NGINX Open Source の ngx_http_rewrite_module に存在するヒープバッファ溢れ⁵脆弱性 CVE-2026-42945（CVSS v3.1: 8.1 (HIGH) / v4.0: 9.2 (CRITICAL)、CWE-122）の公式アドバイザリ K000161019 を公開しました出典。2008 年導入の 18 年来のバグで、影響範囲は NGINX Open Source 1.0.0〜1.30.0（修正版 1.30.1 / 1.31.0）と NGINX Plus R32〜R36（修正版 R36 P4 / R32 P6 / 37.0.0）。0.6.27〜0.9.7 系統は EOL のため修正なし。

発動条件は限定的です。rewrite ディレクティブの直後に rewrite/if/set が続き、unnamed PCRE キャプチャ（$1, $2 など）を含む置換文字列に ? が含まれる場合に発火します（API ゲートウェイ用設定で頻出）。攻撃影響は主にワーカープロセスのクラッシュ（DoS）で、リモートコード実行（RCE）は ASLR 無効環境に限定されます。データプレーンのみ影響し、コントロールプレーン経由のリスクはありません。発見者の depthfirst は ASLR 無効環境での PoC を公開済み出典。VulnCheck は公開数日後の野外悪用も報告しています出典。

何が問題か：NGINX は世界の Web サーバ市場で最大規模のシェアを占め、社内ポータル・API ゲートウェイ・リバースプロキシとして広く使われています。発動条件は限定的ですが、API ゲートウェイ系の rewrite+set 構成は実務で頻出するため影響範囲は無視できません。攻撃の主な影響は DoS ですが、ASLR 無効の VM や古いコンテナイメージでは RCE 成立条件が揃う可能性もあります。

対策：修正済みバージョンへの速やかなアップグレードを最優先します。即時対応が困難な場合、F5 公式の緩和策は unnamed PCRE キャプチャを named キャプチャに書き換えること（例: rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last; → rewrite ^/users/(?<user_id>[0-9]+)/profile/(?<section>.*)$ /profile.php?id=$user_id&tab=$section last;）。WAF はヒープ Corruption の遮断手段になりません（攻撃ペイロードが正当な HTTP フレームに乗るため L7 シグネチャでは検知不可）。代替の運用面の緩和策として nginx ワーカーの非 root 実行・コンテナ分離による爆発半径制限を併用します。

事例：AIによるゼロデイ探索の高度化（Google報告）

2026年5月12日、GoogleはAIを活用したゼロデイ脆弱性の探索・悪用コード生成・自律型マルウェア開発が加速していると公表しました出典。中国・北朝鮮・ロシア系の国家関与型脅威グループがLLM（大規模言語モデル）を不正利用するための基盤を整備しており、AIサプライチェーン侵害のリスクも高まっているとしています。

何が問題か：従来は高度なスキルを要したゼロデイ探索が、AIの支援で参入障壁が下がりつつある点が構造的な変化です。今週のExchange・Cisco・NGINXへの迅速な実悪用は、この傾向と無関係ではないと考えられます。前回記事で報告したAI生成エクスプロイトの事例とも連続しており、単発の事象ではなくトレンドとして定着しつつあります。

対策：外部から見た攻撃面（公開資産・APIエンドポイント等）の継続的な棚卸しを定期化します。AI支援の脅威インテリジェンス収集・優先度付けを検討し、人手での対応速度の限界をシステムで補う体制を整えます。

共通する教訓

今週の事例に共通するのは「実績あるインフラ製品がゼロデイのまま実悪用される」という構造です。Exchange・Cisco SD-WAN・NGINXはいずれも長年の実績を持つ製品ですが、だからこそ組織内での使用範囲が広く、一つの脆弱性の影響が連鎖しやすい面があります。また、GoogleのAI悪用報告が重なることで、「高度な国家支援型攻撃者だけの話」という従来の認識が崩れつつあります。恒久パッチ待ちの間の緩和策適用と、管理プレーンへのアクセス制限を組み合わせる多層防御が現実的な回答です。

業種別影響

製造業: 工場拠点間の SD-WAN 採用率が高く、CVE-2026-20182 は OT/IT を跨いだ横展開リスクを持ちます。Controller への管理アクセス制限と OT/IT ネットワーク分離状況の確認が急務ですが、OT 領域のパッチ適用は通常メンテナンス窓を要するため、緩和策（ACL 制限・トラフィック監視）と並走で計画外メンテナンスの調整を始めることが現実的です。

金融: オンプレミス Exchange Server を運用している場合、緩和策の即時適用が必要です。脆弱性の存在・緩和策未適用それ自体は報告義務のトリガーではありませんが、本脆弱性を起点とした侵害・情報漏えいが発生した場合、以下の報告義務が発動しうるため、規制報告フローと内部エスカレーション手順を併走で準備しておくことが必要です。

法域	法令・根拠	報告義務の発生条件と期限
日本	個人情報保護法 26 条・施行令 8 条	不正アクセス起因の漏えい：速報 3〜5 日、確報 60 日（通常漏えいは確報 30 日）
日本	金融庁監督指針・重要インシデント報告	社会的影響が大きいシステム障害・不正アクセスは速やかに報告
米国（銀行）	OCC 12 CFR Part 53 / FRB 12 CFR Part 225 / FDIC 12 CFR Part 304	36 時間以内に担当規制当局へ通知（2022 年 4 月施行）
米国（上場企業）	SEC Regulation S-K Item 1.05	重大性判断後 4 営業日以内に Form 8-K 開示。Limited Disclosure Delay（DOJ 承認）の例外あり

医療: HIPAA Security Rule（45 CFR §164.308(a)(5)）の技術的脆弱性への対応義務があり、Exchange / NGINX を業務システムで運用している場合は KEV 追加と同時に対応を着手することが事実上の要請です。患者情報を扱う環境では、侵害発生時の HIPAA Breach Notification Rule（個人情報 500 件超の漏えいは 60 日以内に HHS と本人通知）が並行して発動します。
IT・SaaS: NGINX を API ゲートウェイやリバースプロキシとして使うサービスは CVE-2026-42945 の影響に直面します。rewrite+set 構成の設定ファイルを確認し、unnamed PCRE キャプチャを named キャプチャに書き換えるか、修正済みイメージ（nginx:1.30.1 など明示バージョン）へ差し替えるかを選択します。米国上場の SaaS 事業者は、本脆弱性起因の侵害が確認された場合 SEC Item 1.05（4 営業日以内 Form 8-K 開示）の対象となりえます。

一枚要約

項目	内容
何が起きているか	Exchange の真のゼロデイ（恒久パッチ未提供、CVSS v3.1 6.1 の XSS）と、Cisco SD-WAN（CVSS 10.0）・NGINX（v3.1 8.1 / v4.0 9.2）の N-day（パッチ提供済み・公開直後の野外悪用）が同週に重なる異例の状況。Google は AI による攻撃自動化の高度化を公式報告
自社への影響	IT 資産台帳でオンプレミス Exchange・SD-WAN・NGINX の運用有無を確認すれば緊急度が決まる。Exchange Online（M365）利用者は Exchange CVE の影響外。NGINX は `rewrite`+`set`+ unnamed PCRE キャプチャ＋`?` 含む置換という特定設定で発火
打つべき手	各社公式の緩和策を即時適用（NGINX は named キャプチャへ書き換え、Exchange は OWA 経路フィルタ）。vManage Audit Log・OWA アクセスログを精査し、修正済みバージョンへの計画外アップグレードを並走させる

今日着手できる3アクション

ExchangeのCVE-2026-42897緩和策を確認・適用する: Microsoft Security Update GuideでCVE-2026-42897を検索し、Outlook on the webへのアクセス制限または当該モジュール無効化の手順を確認します。Exchange管理者は「EAC（Exchange管理センター）」でOutlook on the webポリシーの有効/無効を確認できます。
Cisco SD-WANのControllerバージョンと管理ACLを確認する: show versionコマンドでCatalyst SD-WAN Controllerのバージョンを確認し、Cisco Security AdvisoriesでCVE-2026-20182の影響バージョン一覧と照合します。管理インターフェースへのアクセスをACL（アクセス制御リスト）で信頼済みIPに絞ります。
NGINX のバージョン確認と named captures への書き換え: nginx -v で現行バージョンを確認し、NGINX OSS 1.0.0〜1.30.0 / NGINX Plus R32〜R36 の範囲であれば修正版（1.30.1 / 1.31.0 / R36 P4 / R32 P6）への更新を計画外メンテナンスとして組み込みます。即時更新が困難な場合は F5 公式緩和策に従い rewrite の unnamed PCRE キャプチャ（$1, $2）を named キャプチャ（$<user_id>）に書き換えます。コンテナ環境では docker pull nginx:1.30.1 のようにバージョンを明示的にピン止めして取得します（nginx:stable タグは更新タイミングに依存して脆弱版を指す可能性があるため避ける）。

AI×セキュリティの観点

Googleの報告は、これまで「高度な研究者が数ヶ月かけて発見する」ものだったゼロデイ探索をAIが大幅に短縮しつつある実態を示しています。今週のNGINX脆弱性が公開数日で悪用に至った速度は、この変化と無関係ではありません。攻撃者側のAI活用が「コード生成による低コスト化」から「自律型エージェントによる継続的スキャン」へ移行しつつある以上、防御側も同等のスピードで脆弱性管理を続けるためにAI支援の優先度付けと自動検知の整備が現実的な対抗手段となります。

用語ミニ解説

SD-WAN（Software-Defined WAN） — 複数の拠点間ネットワークをソフトウェアで集中管理する技術。ControllerがWAN全体の経路制御を担うため、Controllerの侵害は配下の全拠点への横展開リスクに直結する。 ↩
ゼロデイ（Zero-day） — ベンダーがパッチを提供する前から悪用されている脆弱性。修正手段がない状態で攻撃が進行するため、設定変更・機能無効化といった緩和策が唯一の防御手段となる。 ↩
XSS（クロスサイトスクリプティング） — 正規のWebページに悪意あるスクリプトを埋め込む攻撃手法。被害者がページを閲覧するだけでスクリプトが実行され、セッション乗っ取りや任意コード実行につながる。 ↩
KEVカタログ（Known Exploited Vulnerabilities） — CISAが管理する「実攻撃での悪用が確認された脆弱性」の公式リスト。掲載はすでに野外で悪用が確認されたことを意味する。BOD 22-01に基づく対応期限はFCEB（連邦行政機関）のみに適用され、民間企業への法的義務はないが、優先パッチ対象の業界標準指標として広く参照される。 ↩
ヒープバッファ溢れ（Heap Buffer Overflow） — プログラムがメモリのヒープ領域に確保した範囲を超えてデータを書き込む脆弱性。メモリ構造の上書きによりリモートコード実行（RCE）を引き起こすことがある。 ↩

編集後記

今週の 3 製品ゼロデイ／N-day 同時多発を眺めていて感じたのは、「ベンダーが出した CVSS スコアの裏側を読み解く負荷」が CISO・情シスにじわじわ重くのしかかっているということです。Exchange の CVSS 6.1 は XSS としての客観評価ですが、KEV 入りした事実と組み合わせて「実害」を見極めなければ稟議が通らない。NGINX の CVSS v3.1 8.1 と v4.0 9.2 は同じバグの別評価系ですが、どちらを掲示するかで経営層への伝わり方が変わる。AI が攻撃側で「公開数日で野外悪用」を実現する時代に、防御側の評価軸そのものが追いついていない構図です。脆弱性管理の優先付けを「ベンダー数値の単純引き写し」から「自社運用の特定条件で発火するか」を含めた評価へ進化させる議論を、来週の社内会議で持ち出してみてください。