【セキュリティニュース】2026年4月25日号|Cisco ISE重大脆弱性CVE-2026-20186/20147(CVSS 9.9)・PayPay送金型フィッシング3連発・Vercelに不正アクセスでNext.jsサプライチェーン懸念
本日のテーマは「権限ありの相手こそ警戒すべき」。Cisco ISE は4月15日に CVE-2026-20186 と CVE-2026-20147 の2件のRCE脆弱性(いずれもCVSS 9.9、Critical)を公表しました。攻撃には認証情報が要りますが、低権限から root を奪取できる構造のため、社内のネットワーク認証基盤を運用している企業はパッチ適用優先度が極めて高い案件です。フィッシング対策協議会は4月だけでPayPay送金を悪用する詐欺について3度の緊急情報を出しており、メールから正規アプリを開かせて被害者本人の手で送金させる手口が広がっています。さらに4月19日には Next.js の開発元 Vercel が内部システムへの不正アクセスを公表し、第三者AIツール経由のアカウント侵害から発展したサプライチェーン懸念が浮上しています。
ニュース1
NEWS 01
Cisco Systems | 2026年4月15日公表
Cisco ISEに重大なRCE脆弱性2件——CVE-2026-20186・CVE-2026-20147(いずれもCVSS 9.9 Critical)、Patchで即時対応を
シスコシステムズ(Cisco)は2026年4月15日(米国現地時間)、ネットワークアクセス制御(NAC)製品である Cisco Identity Services Engine(ISE)と Cisco ISE Passive Identity Connector(ISE-PIC)に深刻な脆弱性が複数存在するとして、セキュリティアドバイザリと修正パッチを公開しました。中でも CVE-2026-20186(cisco-sa-ise-rce-traversal-8bYndVrZ)と CVE-2026-20147(cisco-sa-ise-rce-4fverepv)はいずれも CVSSv3.1 基本値 9.9(Critical)で、認証された攻撃者がリモートからroot権限で任意コマンドを実行できる内容です。
CVE-2026-20186 は Cisco ISE 3.4 およびそれ以前を対象とした RCE/パストラバーサル系の脆弱性で、Read Only Admin(最小権限の管理アカウント)以上の認証情報があれば、Web管理インターフェースに対する細工したHTTPリクエストで管理外OSにアクセスし、コマンド実行とroot昇格が可能です。CVE-2026-20147 は ISE 3.5 以前が影響を受け、こちらも Read Only Admin 以上の認証情報からコマンドインジェクションでroot権限を奪取できる構造です。Cisco は本件アドバイザリの中で「軽減策(workaround)は存在しない」と明記しており、設定変更だけでは塞げないことが示されています。
修正版は ISE 3.1 Patch 11、3.2 Patch 10、3.3 Patch 11、3.4 Patch 6、3.5 Patch 3 として配布されています。同時に4月15日付で Cisco Webex に関する CVE-2026-20184・CVE-2026-20180 を含む4件のCriticalも公表されており、企業向け認証・コラボ製品まわりが今月の重点リスクとして浮上しています。CCB(ベルギー連邦サイバーセキュリティセンター)は同日、加盟組織に「即時パッチ適用」を勧告しました。
影響を受けるバージョン(要対応)
| 製品 |
影響を受けるバージョン |
修正バージョン |
| Cisco ISE 3.1 |
3.1(全パッチ) |
3.1 Patch 11 |
| Cisco ISE 3.2 |
3.2(全パッチ) |
3.2 Patch 10 |
| Cisco ISE 3.3 |
3.3(全パッチ) |
3.3 Patch 11 |
| Cisco ISE 3.4 |
3.4(全パッチ) |
3.4 Patch 6 |
| Cisco ISE 3.5 |
3.5(CVE-2026-20147 対象) |
3.5 Patch 3 |
▌中小企業への影響
Cisco ISE は本社や工場のネットワークに「誰が・どの端末で」接続しているかを統制する基盤製品です。中小企業でも、本社・支店間でVPNを張っている、来客向けゲストWi-Fi を運用している、IoT機器の入退ネットワーク認証を行っている——といった組織では Cisco ISE が裏側で動いているケースがあります。Read Only Admin の認証情報が前提とはいえ、運用ベンダーの保守IDや退職者の未削除アカウントが残っていると、その1組のID/パスワードからroot奪取につながります。攻撃者は社内の認証基盤を奪うと、その後の横展開(ラテラルムーブメント)が極めて容易になり、ランサムウェアの初期侵入起点として悪用される可能性があります。
▌推奨対応
- Cisco ISE / ISE-PIC を運用しているか保守ベンダーに即時確認し、稼働バージョンとPatch適用履歴を一覧化する
- 該当バージョンが残っている場合は ISE 3.1 Patch 11 / 3.2 Patch 10 / 3.3 Patch 11 / 3.4 Patch 6 / 3.5 Patch 3 への更新を1〜2週間以内に計画する
- Web管理インターフェースを社内専用ネットワーク・特定セグメントからのみアクセス可能に絞る(境界防御の徹底)
- ISE 管理者アカウントのうち Read Only Admin を含めて棚卸しし、退職者・離任ベンダー・テスト用アカウントを削除する
- 管理者アカウントのMFAを必須化し、過去90日のログイン履歴を確認する
- パッチ適用までの暫定対応として、管理画面アクセスログの監視を強化し、不審なリクエストを即時検出する体制を取る
ニュース2
NEWS 02
フィッシング対策協議会 | 2026年4月13日・16日 緊急情報
PayPay送金を悪用するフィッシング、4月だけで3件の緊急情報——「国民健康保険料」「保険会社」「クレカ請求」を装い被害者自身に送金させる新型手口
フィッシング対策協議会は2026年4月、PayPayアプリでの送金を悪用したフィッシング詐欺について複数回の緊急情報を発出しました。4月2日に「クレジットカード月額請求や通信料金支払い」を装う手口、4月13日に「国民健康保険料の差額催告」を装う手口、4月16日に「保険会社からの保険料請求」を装う手口について、それぞれ警告が出されています。新型手口の特徴は、攻撃者がPayPay正規アプリの送金機能(送金リンク)を悪用しているため、被害者は不審に思わずに本人の意思で送金してしまう点です。
4月13日の事例では、メールの件名は「国民健康保険料差額(未納分)のお知らせ(催告)」など。本文中の「納付手続き(PayPay)はこちら」リンクをタップするとスマートフォンのPayPayアプリが起動し、送金画面が立ち上がります。アプリ自体は本物(偽アプリではない)で、送金先と金額があらかじめ攻撃者の口座情報で埋まっているため、ユーザが「確認」をタップしてしまえば即座に攻撃者へ送金されます。
4月16日の事例は、件名「【重要】2026年4月 保険料ご請求予定金額のお知らせ」など、保険会社の通常通知に酷似する文面が使われています。決済者が経理担当(個人名義クレカ・QR決済を業務支払いに併用しているケース)の場合、業務メールを装った偽請求から会社資金が抜かれるリスクもあります。協議会は「メール経由でPayPayアプリを開くよう誘導された場合、いったん操作を止めて、送信元・支払先情報を確認してほしい」と呼びかけています。
▌中小企業への影響
従来のフィッシング対策(リンクのドメインを目視確認・偽サイトの見破り)はこの手口には通用しません。攻撃者が誘導する先は PayPay の正規アプリ(apps.apple.com / play.google.com からインストールされた本物)であり、URL検査や偽サイト判定では検知できません。また、業務でQR決済・電子マネーを併用する経理担当者が「経費精算と勘違いして送金してしまう」ケースは現実的なリスクです。スマートフォン側のセキュリティ対策(メールクライアントの警告・MDM)では送金行為そのものは止められないため、業務ルールでカバーする必要があります。
▌推奨対応
- 「請求・督促・支払い」を題材にした不審メールから、PayPay・LINE Pay 等の決済アプリを起動してはいけないというルールを全社員に明示する
- 業務上の支払い・経費精算は会社指定の決済方法(法人クレカ・銀行振込)に限定し、QR決済の業務利用を停止または許可制にする
- 経理・総務部門の担当者向けに、4月の3つの典型件名(「国民健康保険料差額(未納分)」「【重要】2026年4月 保険料ご請求予定金額のお知らせ」「クレジットカード月額請求」)を社内共有する
- 不審メールに気づいた社員が即座に相談できる窓口(情シス・総務)を設け、「報告したら褒められる」文化に統一する
- 家族・取引先(特に高齢層)にも同手口の存在を共有し、二次被害を防ぐ
- 社員のスマホで業務メールを受信している場合、業務スマホと私用スマホの分離・MDMによるアプリ制御を再検討する
ニュース3
NEWS 03
Vercel Inc. | 2026年4月19日公表
Next.js 開発元の Vercel が内部システムへの不正アクセスを公表——第三者AIツール経由でGoogle Workspaceアカウント侵害、サプライチェーン懸念が拡大
Web基盤プラットフォーム Vercel(Next.js の開発元)は2026年4月19日、自社の内部システムの一部に第三者による不正アクセスがあったことを正式に公表しました。Vercel は調査と封じ込めのために Google Mandiant および Context(被害発生元のAIツールベンダー)と連携し、被害範囲の特定とログ精査を進めています。Next.js は世界中のWebサービスのフロントエンド基盤として広く利用されているJavaScriptフレームワークで、npm 経由で大量のダウンロードがあります。
Vercel の発表によれば、攻撃の起点は同社従業員が利用していた第三者AIツール「Context.ai」の侵害でした。攻撃者はこの侵害から従業員の Google Workspace アカウントを乗っ取り、Vercel の一部内部環境および「sensitive とマークされていなかった」環境変数へアクセスしました。Vercel は影響を受けた環境変数のローテーション・無効化を実施し、現時点で顧客の本番デプロイへの影響は確認されていないとしています。
一方、4月19日に BreachForums 上で「ShinyHunters」を名乗る人物が Vercel のデータベース・アクセスキー・従業員アカウント・ソースコードを総額200万米ドルで売却すると主張しました。「これがうまくいけば、史上最大級のサプライチェーン攻撃になる」とも投稿されています。BleepingComputer の取材に対して既知の ShinyHunters メンバーは関与を否定しており、模倣もしくは別アクターの可能性があるとされています。Vercel は売り出されたとされるデータの正当性を継続調査中です。
▌中小企業への影響
自社サイトを Vercel/Next.js でホスティングしている中小企業は、現時点で本番デプロイへの影響は報告されていないものの、(1) Vercel に登録した連絡用メール・支払い情報、(2) GitHub/NPMトークン経由の連携、(3) Vercel 環境変数に保存していたAPIキーなどの取り扱いを再点検すべきタイミングです。さらに重要なのは、本件が「従業員が業務利用していた第三者AIツール」を入口としている点です。生成AIアシスタント・コードレビュー支援・要約ツールなど、業務効率化を目的に各部門で個別契約しているSaaSが Google Workspace と連携している場合、そのアプリ自体が侵害されると本体アカウントまで波及します。シャドーITとして導入された業務AIツールの棚卸しは、規模を問わず4月中に行う価値があります。
▌推奨対応
- 自社で Vercel を利用している場合、API トークン・GitHub/NPM 連携トークン・環境変数を全件ローテーションする
- Vercel ダッシュボードのアクセスログ(4月初旬以降)を確認し、見覚えのない IP・地域からのログインを洗い出す
- Google Workspace(または Microsoft 365)に接続している外部アプリ(特にAI系)を一覧化し、不要なものを削除・権限を最小化する
- 業務AIツールを導入する際の社内承認フローを整備する(情シス審査必須・SSO連携・2要素認証必須)
- Next.js を利用している自社サイトの依存関係(package-lock.json / yarn.lock)を確認し、不審なバージョン置換が起きていないかをCI上でチェックする
- 顧客向けの Web サービスを Vercel/Next.js で提供している場合、想定インシデント時の顧客通知テンプレートを再確認する
まとめ
編集部まとめ
本日の3本に共通するのは「権限を持っている相手」が攻撃の足がかりになっている点です。Cisco ISE は最小権限のRead Only Admin認証情報からroot奪取が可能、PayPayフィッシングはユーザ自身が「正規アプリ」を操作して送金、Vercel は従業員が利用する正規SaaSの認証情報を経由——いずれも「外部から無認証で侵入する攻撃」ではなく、何らかの正当な権限・操作を悪用する型です。中小企業が今週優先すべきは(1) ネットワーク認証基盤・基幹システムの管理者アカウントの棚卸し、(2) 決済アプリを起点とする業務送金ルールの再確認、(3) 部門ごとに導入された業務SaaS・AIツールの権限見直し——の3点です。技術的なパッチと、業務プロセス側の点検を同じタイミングで進めてください。
参考情報
参考情報
secure