【インシデント速報】Cisco SSMにCVSS 9.8の緊急脆弱性・コタがサイバー攻撃でシステム停止・東山産業ランサムウェアで委託元ヤマシタの顧客情報に波及
secureCisco / The Hacker News | 2026年4月2日
Cisco Smart Software Manager On-PremにCVSS 9.8の緊急脆弱性、認証不要でroot権限を奪取可能緊急
Ciscoは2026年4月2日(現地時間)、同社のライセンス管理ツール「Cisco Smart Software Manager On-Prem(SSM On-Prem)」に複数の深刻な脆弱性が存在するとしてセキュリティアドバイザリを公開しました。最も深刻なCVE-2026-20160はCVSSスコア9.8で、認証なしにリモートからroot権限でコマンドを実行できます。
この脆弱性は、本来外部に公開されるべきでない内部サービスが誤って露出していたことが原因です。攻撃者は細工したリクエストをAPIに送るだけで、ユーザー名もパスワードも不要でシステムを完全に掌握できます。パッチはSSM On-Premバージョン9-202601で提供されています。
さらにCVE-2026-20093(CVSS 9.8)はパスワード変更処理の不備により管理者を含む全ユーザーのパスワードを書き換え可能、CVE-2026-20151はWeb管理画面経由の権限昇格が可能な脆弱性です。いずれも回避策はなく、パッチ適用が唯一の対策となります。
SSM On-Premはオフライン環境でCiscoライセンスを管理するためのツールで、インターネット接続制限のあるネットワーク環境で導入されています。Ciscoのルーター・スイッチ・ファイアウォールを利用する中小企業で、ライセンス管理にSSM On-Premを使っている場合が該当します。認証不要で攻撃可能なため、社内ネットワーク上に露出していれば即座に乗っ取られる危険があります。
- SSM On-Premを利用している場合、バージョン9-202601以降へ即座にアップデートする
- SSM On-Premの管理画面やAPIがインターネットに公開されていないか確認する
- 社内ネットワーク内でもSSM On-Premへのアクセスを必要最小限のIPに制限する
- Cisco機器の管理を外部に委託している場合、委託先にSSM On-Premの利用有無とパッチ状況を確認する
コタ株式会社 / Security NEXT | 2026年3月30日公表・4月2日第2報
ヘアサロン向け化粧品メーカー・コタ、サイバー攻撃でシステム障害が継続中重要
東証プライム上場でヘアサロン向けの頭髪用化粧品・医薬部外品を製造・販売するコタ株式会社(証券コード4923)は、2026年3月30日に適時開示として「サイバー攻撃によるシステム障害発生のお知らせ(第1報)」を公表しました。
同社によると、2026年3月27日にシステム障害が発生し、調査の結果サイバー攻撃によるものと判明しています。3月30日の第1報に続き、4月2日には第2報を開示。警察など関係機関へ相談するとともに、外部のセキュリティ専門機関と連携して個人情報や顧客データの外部流出の有無を含む影響範囲の調査と復旧作業を進めています。
コタは全国の美容室に製品を供給しているメーカーです。取引先の美容室やディーラーにとっては、発注・納品に影響が出る可能性があります。また、上場企業でもサイバー攻撃によりシステムが数日間停止する事態は珍しくなく、自社のBCP(事業継続計画)にサイバー攻撃を想定したシナリオが含まれているか確認する契機です。
- コタ製品の取引先企業は、発注・出荷状況についてコタの営業担当に確認する
- 自社のBCP(事業継続計画)にサイバー攻撃によるシステム停止シナリオが含まれているか確認する
- 基幹システムのバックアップが定期的に取得され、復旧テストが行われているか確認する
- システム障害発生時の社外向け連絡テンプレートを事前に用意しておく
ヤマシタ / セキュリティ対策Lab | 2026年3月30日公表
委託先・東山産業のランサムウェア被害で、福祉用具レンタルのヤマシタ顧客情報が漏えいの可能性重要
福祉用具レンタル事業を展開する株式会社ヤマシタは2026年3月30日、業務委託先の東山産業株式会社が2026年3月10日にランサムウェアによる不正アクセス被害を受け、ヤマシタの一部顧客の個人情報が漏えいした可能性があると公表しました。
漏えいの可能性がある情報は、福祉用具レンタルサービスを利用する顧客の氏名・電話番号・住所の3項目です。ヤマシタは利用者に対し、見知らぬ番号からの不審な電話やメールに注意し、個人情報や金融情報を伝えないよう呼びかけています。
自社のセキュリティ対策が万全でも、業務委託先がランサムウェアに感染すれば顧客情報が漏えいします。2026年に入ってからも委託先・サプライチェーン経由のインシデントが続いており、委託先のセキュリティ体制を契約時に確認し、定期的に監査する仕組みが不可欠です。
- 業務委託先との契約にセキュリティ要件(バックアップ・パッチ適用・インシデント報告義務)を明記しているか確認する
- 委託先に預けている個人情報の範囲と量を棚卸しし、必要最小限に絞る
- 委託先でインシデントが発生した場合の自社側の対応フローを整備する
- 年1回以上、主要委託先のセキュリティ対策状況をチェックシートで確認する
編集部まとめ
本日の3件は「基盤ソフトウェアの脆弱性」「直接のサイバー攻撃」「委託先経由の被害」と、異なる経路のリスクを示しています。Cisco SSMの脆弱性はCVSS 9.8と最高レベルの深刻度で、該当環境があれば即座にパッチを適用すべきです。コタの事例はシステム停止が長期化するリスクを、ヤマシタ/東山産業の事例は委託先管理の重要性をそれぞれ浮き彫りにしています。
本日の最優先アクション:①Cisco SSM On-Premの利用有無の確認とパッチ適用、②主要委託先のセキュリティ対策状況の確認の2点です。
参考情報
- The Hacker News「Cisco Patches 9.8 CVSS IMC and SSM Flaws Allowing Remote System Compromise」(2026年4月2日)
- Cisco Security Advisory「Cisco Smart Software Manager On-Prem Arbitrary Command Execution Vulnerability」
- Security NEXT「サイバー攻撃でシステム障害、影響調査や復旧進める - コタ」(2026年3月30日)
- コタ株式会社 適時開示「サイバー攻撃によるシステム障害発生のお知らせ」(2026年3月30日・4月2日)
- セキュリティ対策Lab「ヤマシタ、委託先の東山産業のランサムウェア被害で個人情報漏えいの可能性」(2026年3月30日)
