Weekly Newsletter #256
あなたのSD-WAN は3 年間、誰かに覗かれていたかもしれません - CVSS10.0 のゼロデイが静かに暴かれた週、NVIDIA は銅線の限界を見切って光に40 億ドルを賭け、ホワイトハウスではビッグテック7 社が「電気代は自分で払います」と誓わされていました。
こんにちは、3月はRio がお届けします。
先日Whole Foods で買い物をしていたら、果物コーナーにオレンジ色の見慣れたシルエットが並んでいました。
Fuyu Persimmon
そう、富有柿です。
$4.99/ポンド(454グラム) とそこそこの値段ですが、葉付きのみかんやザクロと並んで堂々とした存在感を放っており、アメリカのスーパーで柿が普通に売られている光景に驚きました。
実はアメリカと柿の縁は意外と深く、persimmon という英語自体がネイティブアメリカンのポウハタン族の言葉に由来するとされています。
北米にはもともとDiospyros virginiana という在来種の柿が自生しており、ヨーロッパからの入植者より遥か昔から食べられていたそうです。
一方、今Whole Foods に並んでいる Fuyu(富有) は日本原産の甘柿で、19世紀後半にカリフォルニアに持ち込まれました。
現在ではカリフォルニア州が全米最大の産地となっており、特にセントラルバレー周辺で盛んに栽培されています。
ちなみに学名のDiospyros は神の果実というギリシャ語に由来するのだとか。
日本の秋の味覚が、太平洋を渡って神の果実として定着しているのは、なかなか面白い話だと思いました。
それでは今週も注目ニュースをお届けします。
先週のニュースレターを見逃した方はこちら
Weekly Newsletter #255: 6Gより先に「自律型ネットワーク」が来る? NVIDIAが明かす通信業界の急旋回と、最先端AIの“残酷な罠”
Weekly Newsletter #254: AIoTの主権が「現場」に還る:クラウド依存からの脱却と自律の夜明け
Cisco SD-WAN ゼロデイ CVE-2026-20127 - 3年間気づかれなかった”最も深刻な脆弱性”の認証バイパス
Photo: pixabay(@vickygharat)
📚 トピックのポイントを3行で
Cisco Catalyst SD-WAN Controller / Manager に CVSS 10.0 の認証バイパス脆弱性が見つかり、2023 年から悪用されていたことが判明しました
攻撃者は不正なピアをSD-WAN の管理プレーンに追加し、NETCONF 経由でネットワーク構成を操作、さらにroot 権限まで昇格していました
CISA が緊急指令(ED 26-03) を発出し、米連邦機関に即時パッチ適用と侵害調査を命じています
2 月25 日、Cisco は同社の Catalyst SD-WAN Controller(旧 vSmart) および Catalyst SD-WAN Manager(旧 vManage) に影響する重大なゼロデイ脆弱性CVE-2026-20127 を公開しました。
CVSS スコアは最高の10.0 で、認証なしのリモート攻撃者が細工したリクエストを送るだけで認証をバイパスし、管理者権限を取得できるというものです。
この脆弱性を報告したのはオーストラリア通信電子局(ASD) 傘下のAustralian Cyber Security Centre(ACSC) で、同機関の調査によると、少なくとも2023 年から悪用が行われていたとされています。
Cisco Talos はこの攻撃活動をUAT-8616 として追跡しており、高い確信度で、極めて高度なサイバー脅威アクターと評価しています。
問題の本質は、SD-WAN のピアリング認証メカニズムが正しく機能していなかった点にあります。
攻撃者はこの欠陥を利用して、まず内部の高権限ユーザー(非root アカウント) としてログインし、次にNETCONF(ポート830) を通じてSD-WAN ファブリックのネットワーク構成を直接操作できる状態を作り出しました。
さらに、SD-WAN の正規のソフトウェアアップデート機能を悪用してバージョンをダウングレードし、既知の権限昇格脆弱性 CVE-2022-20775 を利用してroot 権限を取得した後、元のバージョンに戻すという手口で痕跡を消していたとのことです。
この攻撃手法は、いわゆる LotL(Living off the Land: 環境寄生型攻撃) の典型例といえます。
カスタムマルウェアを展開するのではなく、SD-WAN が備える正規の管理機能やツールを巧みに利用し、ログの削除やコマンド履歴の消去まで行っていたため、検知が極めて困難でした。
米国のCISA は同日、緊急指令ED 26-03 Mitigate Vulnerabilities in Cisco SD-WAN Systems を発出しました。
連邦文民行政機関(FCEB) に対して、SD-WAN システムの棚卸し、フォレンジック証拠の収集、外部ログストレージの確保、パッチ適用、そして侵害の有無の調査を遅滞なく実施するよう命じています。
英国のNational Cyber Security Centre(NCSC) やNSA なども共同で脅威ハンティングガイドを公開しており、国際的な対応が進んでいます。
日本企業にとっても、Cisco SD-WAN は広く採用されているソリューションです。
特にグローバル拠点を持つ企業では、SD-WAN Controller やManager がインターネットに露出していないか、即座に確認することが重要と思われます。
Cisco はワークアラウンドが存在しないことを明言しており、パッチ適用が唯一の根本的な修正手段です。
また、パッチ適用だけでなく、3年間にわたる潜在的な侵害の痕跡を調査する必要があるという点は、多くの組織にとって大きな負担となりそうです。
ネットワークエッジデバイスを狙う高度な攻撃者の傾向は今後も続くと見られ、SD-WAN 環境の管理インターフェースを信頼されないネットワークから隔離するという基本原則の重要性が改めて浮き彫りになったといえます。
参考文献
Cisco SD-WAN Zero-Day CVE-2026-20127 Exploited Since 2023 for Admin Access - The Hacker News
https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.htmlCisco SD-WAN Zero-Day Under Exploitation for 3 Years - Dark Reading https://www.darkreading.com/vulnerabilities-threats/cisco-sd-wan-zero-day-exploitation-3-years
Active exploitation of Cisco Catalyst SD-WAN by UAT-8616 - Cisco Talos https://blog.talosintelligence.com/uat-8616-sd-wan/
CVE-2026-20127 Zero-Day Auth Bypass Exploited - Tenable https://www.tenable.com/blog/cve-2026-20127-cisco-catalyst-sd-wan-controllermanager-zero-day-authentication-bypass
NVIDIA、光学部品メーカー2社に40億ドル投資 - シリコンフォトニクスで”ギガワット級AI ファクトリー”の配線を確保へ
Photo: pixabay(@geralt)
📚トピックのポイントを3行で
NVIDIA がLumentum とCoherent にそれぞれ20 億ドル(合計約6,000 億円: $1=150 円換算) を投資する複数年契約を発表しました
銅配線の物理的限界を前に、シリコンフォトニクス(光を利用したチップ間通信技術) を次世代AI インフラの基盤に据える戦略が鮮明になっています
ハイパースケーラー各社が2026 年だけで約7,000 億ドルをデータセンターに投じる中、光学部品のサプライチェーン確保が競争の焦点に移りつつあります
3月2日、NVIDIA は光学、フォトニクス技術を手がけるLumentum Holdings とCoherent Corp. のそれぞれに20 億ドル(約3,000 億円)、合計40 億ドル(約6,000 億円) を投資する複数年の戦略的パートナーシップを発表しました。
両社の株価は発表翌日にそれぞれ約12%、約15% 上昇しており、市場の期待の大きさがうかがえます。
この投資の背景にあるのは、AI インフラにおける配線のボトルネックです。
現在のデータセンターでは、GPU 間やスイッチ間のデータ転送に銅ケーブルが広く使われていますが、帯域幅、レイテンシ、消費電力、発熱のいずれの面でも物理的な限界が近づいています。
5 万台以上のGPU を接続する大規模クラスタでは、従来の銅配線ではもはや対応しきれないのが実情です。
そこで注目されているのが、光(フォトン) を使ってデータを転送するシリコンフォトニクス技術です。
NVIDIA のJensen Huang CEO は声明で、Lumentum との提携についてギガワット級AI ファクトリーの次世代アーキテクチャを支える、世界最先端のシリコンフォトニクスを共に推進する と述べています。
両契約には、NVIDIA からの数十億ドル規模の購入コミットメント、先進的なレーザー部品や光ネットワーキング製品への将来のキャパシティアクセス権が含まれており、投資資金は米国内の研究開発と製造施設の拡張に充てられるとのことです。
注目すべきは、NVIDIA がこれらの投資を非独占的な形で行っている点です。
光学部品市場を囲い込むのではなく、サプライチェーン全体の生産能力を底上げする狙いがあるようです。
HPCwire の報道によれば、NVIDIA はInfiniBand や Ethernet スイッチ向けに CPO(Co-Packaged Optics: 光学部品をスイッチと一体実装する技術) を採用する方針を示していますが、GPU 間の高速接続技術であるNVLink への光学技術の採用についてはまだ公式発表がありません。
今回の投資は、NVLink のフォトニクス化に向けた布石とも読み取れます。
この動きは、AI インフラの競争軸が演算性能から接続性能へとシフトしつつあることを象徴しています。
中国では2026 年1 月時点で光ファイバー(G.652.D) の価格が前年比50% 以上上昇しており、大規模AI データセンター建設による需要急増が背景にあるとされています。
AI 用データセンターでは、従来型施設と比べてマルチモードファイバーの需要が約10 倍に達するという試算もあり、光学インフラはもはや計算資源に次ぐ戦略的資源としての位置づけを確立しつつあります。
日本のネットワーク・インフラ企業にとっても、この光学シフトは重要な示唆を含んでいます。
データセンター内の400G/800G 接続、さらにはその先の1.6T 接続を見据えた光学技術への投資と人材育成が、今後の競争力を左右する分かれ目になるかもしれません。
NVIDIA のエコシステム戦略がチップ単体からネットワーキング、そして光学部品にまで拡大している現状は、AI インフラのバリューチェーン全体を理解するうえで注目に値するものと感じました。
参考文献
Nvidia to invest $4 billion into photonics companies Coherent and Lumentum - CNBC
https://www.cnbc.com/2026/03/02/nvidia-investment-coherent-lumentum.htmlNvidia to invest $2 billion each in Lumentum, Coherent to bolster AI processors - Reuters
https://finance.yahoo.com/news/nvidia-invest-4-billion-photonic-131110099.htmlWhy AI Data Centers Are Driving Fiber Demand in 2026 - KAD
https://www.kad8.com/server/why-ai-data-centers-are-driving-fiber-demand-in-2026/
関連情報: チップ間通信も光の時代に: フォトニック・インターコネクト
ビッグテック7社がホワイトハウスで電力自己負担を誓約 - “Ratepayer Protection Pledge” の実効性と背景
Photo: unsplash(@rammah)
📚トピックのポイントを3行で
トランプ大統領がAmazon, Google, Meta, Microsoft, OpenAI, Oracle, xAI の7 社をホワイトハウスに招き、データセンター電力の自己調達を約束するRatepayer Protection Pledge に署名させました
米国では電気料金が2026年に6% 上昇する見通しで、データセンターの電力消費が家庭の電気代を押し上げているとの批判が全米で高まっています
ただし、この誓約には法的拘束力がなく、電力供給は州レベルで規制されるため、実効性を疑問視する声も少なくありません
3 月4日(現地時間)、トランプ大統領はホワイトハウスで主要テック企業7 社の幹部を招き、Ratepayer Protection Pledge(電気料金負担者保護誓約) への署名式を行いました。
署名したのはAWS CEO のMatt Garman、Oracle CEO のClay Magouyrk、Google President のRuth Porat、Meta President のDina Powell、Microsoft President の Brad Smith、OpenAI COO のBrad Lightcap、xAI からはGwynne Shotwell の各氏です。
この誓約の骨子は、テック企業がAI データセンターに必要な電力を自ら建設、調達、または購入し、送配電インフラのアップグレード費用も自社で負担するというものです。
余剰電力は公益事業者に売却する選択肢も含まれ、また地元からの雇用も約束されています。
トランプ大統領はデータセンターが建てば電気代が上がると思っている人がいるが、それは起こらないと述べました。
背景にあるのは、AI ブームに伴う電力需要の急増と、それに対する全米各地での住民の不満です。
Goldman Sachs のレポートによれば、米国の電気料金は2026 年中に6%、2028 年にはさらに3%上昇する見通しです。
特に深刻なのは、13 州をカバーする米国最大の送電網PJM Interconnection のエリアで、データセンター関連のコストが230 億ドルに達しているとの試算があります。
容量市場の価格は、2024-2025 年の1MW/日28.92ドルから、2026-2027 年には329.17ドルへと約11 倍に跳ね上がっています。
こうした状況を受け、各地でデータセンター建設への反対運動が拡大しています。
ニューヨーク州では3 年間の建設モラトリアム法案が提出され、フロリダ州のDeSantis 知事はAI 関連の権利章典を発表、バーモント州のSanders 上院議員は全国的なモラトリアムを提案しています。
アリゾナ州のHobbs 知事もデータセンターへの税制優遇の撤廃を支持する姿勢を示しており、政治的にはリベラル、保守を問わない超党派的な懸念となっているようです。
ただし、今回の誓約の実効性には疑問符がつきます。
ハーバード大学の電力法イニシアティブのAri Peskoe 氏は、この誓約を一般市民に何かしているように見せかけるための、法的拘束力のないESG コミットメントと評しています。
電力供給は基本的に州レベルで規制されており、連邦政府がこの種の誓約を直接強制する手段は限られているためです。
環境団体 Earthjustice も、誓約ではなく強力な政策と保護が必要だと声明を出しています。
日本から見ると、この動きは二つの意味で示唆的と思われます。
第一に、AI インフラ投資において電力がもはや技術的課題ではなく政治的課題になっているという現実です。
日本でもデータセンター建設が加速していますが、地域住民との合意形成や電力コストの透明性確保は早い段階から意識する必要がありそうです。
第二に、大手テック企業がデータセンターの電源を自前で確保するPower-First戦略への移行が進んでいることです。
原子力、天然ガス、再生可能エネルギーなど、電源ミックスの選択がデータセンター立地戦略と一体化する時代が到来しつつあるといえるかもしれません。
参考文献
Trump faces an AI data center power dilemma ahead of midterms - CNBC https://www.cnbc.com/2026/03/04/trump-faces-an-ai-data-center-power-dilemma-ahead-of-midterms.html
Fact Sheet: President Donald J. Trump Advances Energy Affordability with the Ratepayer Protection Pledge - The White House
https://www.whitehouse.gov/fact-sheets/2026/03/fact-sheet-president-donald-j-trump-advances-energy-affordability-with-the-ratepayer-protection-pledge/Trump says deal on data centers will lower electricity costs, but offers few details - AP
https://www.wsls.com/news/politics/2026/03/04/trump-says-deal-on-data-centers-will-lower-electricity-costs-but-offers-few-details/The public opposition to AI infrastructure is heating up - TechCrunch
https://techcrunch.com/2026/02/25/the-public-opposition-to-ai-infrastructure-is-heating-up/Few Details on Trump’s Plan for Self-Powered Data Centers - Inside Climate News
https://insideclimatenews.org/news/04032026/trump-data-center-rate-payer-protection-pledge/
参考情報: エネルギーミックスとは?
最後までお読みいただきありがとうございます!
励みになりますので、ぜひLikeボタン (♡) をお願いします!