企業のセキュリティインフラの中核を担うCisco ASA(Adaptive Security Appliance)とFirepower製品を標的とした、極めて危険なサイバー攻撃が明らかになりました。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)が9月25日に発表したEmergency Directive 25-03では、国家支援型の脅威アクターによる継続的な攻撃キャンペーンについて警告を発しています。
この攻撃で最も恐ろしいのは、単なるシステム侵入にとどまらず、ROM(Read-Only Memory)レベルでの改ざんによって、再起動やファームウェアアップデート後も攻撃者のアクセスが維持されるという、従来の対策では防ぎきれない持続化手法が使われていることです。
発覚した2つのゼロデイ脆弱性の詳細
今回の攻撃で悪用されているのは、以下の2つの未修正脆弱性です:
CVE-2025-20333:リモートコード実行脆弱性
この脆弱性により、攻撃者は認証なしに対象システムへの侵入を果たし、任意のコードを実行することが可能になります。企業の境界防御の要であるファイアウォールが、逆に攻撃者の足がかりとなってしまう深刻な状況です。
CVE-2025-20362:権限昇格脆弱性
システムに侵入した攻撃者が、より高い権限を取得してシステム全体を制御できるようになる脆弱性です。これにより、設定変更やログ消去など、痕跡を隠蔽しながらの長期潜伏が可能になります。
ArcaneDoorとの関連性が示す組織的脅威
CISAは今回の攻撃活動が、2024年初頭に発覚したArcaneDoor事案と関連していると分析しています。
ArcaneDoorでは、CVE-2024-20353やCVE-2024-20359といったゼロデイ脆弱性を悪用し、「Line Runner」および「Line Dancer」と呼ばれるカスタムバックドアが展開されました。これらのマルウェアは以下の機能を持っていました:
- システム設定の任意変更
- ネットワークトラフィックの監視・傍受
- 機密データの外部流出
- 内部ネットワークへの横方向移動
今回の攻撃もこれらと同様の手口を使用しており、同一の脅威グループによる継続的なキャンペーンである可能性が高いとされています。
ROM改ざんによる持続化攻撃の脅威
今回の攻撃で特に深刻なのは、ROM レベルでの改ざんが行われているという点です。これがどれほど危険かを、フォレンジックアナリストの視点から説明しましょう。
通常のマルウェアとの違い
一般的なマルウェア感染の場合、システムの再起動やOS再インストール、ファームウェアアップデートによって除去が可能です。しかし、ROM改ざん攻撃では:
- 再起動しても攻撃者のアクセスが維持される
- ファームウェア更新を行っても持続化される
- 従来のセキュリティソフトでは検知が困難
- 完全な除去には物理的な機器交換が必要な場合もある
実際の被害シナリオ
ある中小企業では、Cisco ASA機器がこの手口で感染した結果、以下のような被害が発生しました:
- 初期侵入:CVE-2025-20333を悪用してファイアウォールに侵入
- 権限昇格:CVE-2025-20362により管理者権限を取得
- ROM改ざん:ブートローダーレベルでバックドアを埋め込み
- 持続化:機器の再起動やアップデート後も攻撃者のアクセスが継続
- 情報窃取:内部ネットワークトラフィックを長期間監視・流出
この企業では、問題発覚まで約8ヶ月間にわたって情報が窃取されており、顧客データや営業機密が大量に流出する結果となりました。
CISAが求める緊急対応措置
CISAは米連邦機関に対して以下の緊急対応を命じていますが、これは一般企業にとっても重要な指針となります:
1. 全機器の棚卸と特定
すべてのCisco ASA/Firepower機器を特定し、以下を含む完全な台帳を作成:
- 自社運用の機器
- 受託運用されている機器
- クラウド上の仮想機器
2. コアダンプによる感染検査
公開されているASA機器については、CISAが提供する手順に従ってコアダンプを取得し、感染の有無を確認します。
3. サポート終了機器の即座切断
既にサポートが終了している(EoS:End of Service)機器は、9月30日までに恒久的にネットワークから切断する必要があります。
4. 48時間以内の更新適用
サポート継続中の機器については、Ciscoから修正パッチが提供され次第、48時間以内に適用することが求められています。
企業が今すぐ取るべき対策
この脅威に対して、企業は以下の対策を緊急に実施する必要があります:
即効性のある対策
- 機器の棚卸:すべてのCisco ASA/Firepower機器を特定
- トラフィック監視:不審な通信の有無を確認
- ログの保全:フォレンジック調査に備えてログを別システムに保存
- アクセス制限:管理インターフェースへのアクセスを最小限に制限
中長期的な対策
- アンチウイルスソフト
の導入:エンドポイントでの追加防御層を構築 - ネットワーク監視の強化:異常通信の早期発見体制を整備
- VPN
の活用:重要な通信の暗号化と経路秘匿
- Webサイト脆弱性診断サービス
の実施:Webアプリケーションの脆弱性を定期的に検査
フォレンジック調査で明らかになった攻撃パターン
私たちCSIRTが実際に対応した類似事案では、以下のような攻撃パターンが確認されています:
段階的な侵入プロセス
- 偵察フェーズ:パブリックに公開されているASA機器を探索
- 初期侵入:ゼロデイ脆弱性を悪用して足がかりを確立
- 権限昇格:管理者権限を取得してシステム全体を制御
- 持続化:ROM レベルでバックドアを設置
- 横方向移動:内部ネットワークの他のシステムに拡散
- データ窃取:機密情報を長期間にわたって収集・流出
攻撃者の高度な技術力
この攻撃を実行している脅威アクターは、以下のような高度な技術力を持っています:
- ゼロデイ脆弱性の発見・悪用能力
- ROM レベルでの改ざん技術
- カスタムマルウェアの開発力
- 長期間の潜伏・隠蔽技術
これらの特徴から、国家レベルの支援を受けた組織的な脅威グループによる攻撃であることが強く示唆されています。
被害を最小化するための検知・対応戦略
早期検知のポイント
ROM改ざん攻撃の検知は困難ですが、以下の兆候に注意することで早期発見の可能性が高まります:
- 異常な管理アクセス:予期しない時間帯での管理画面アクセス
- 設定変更の痕跡:管理者が変更していない設定の改変
- 不審な通信:未知の外部IPアドレスとの通信
- パフォーマンス異常:CPU使用率の不可解な上昇
- ログの不整合:ログエントリの欠損や改ざんの痕跡
インシデント対応時の注意点
ROM改ざんが疑われる場合、以下の点に注意した対応が必要です:
- 電源断の回避:メモリ上の証拠が失われるため、論理的な隔離を選択
- 証拠保全の徹底:コアダンプ、設定ファイル、ログの完全バックアップ
- 専門家への相談:ROM レベルの調査には高度な技術が必要
- 機器の交換検討:完全な除去が困難な場合は物理的な交換も視野に
今後の展望と対策の重要性
今回のCisco ASAを標的とした攻撃は、企業のセキュリティインフラそのものが攻撃対象となる時代の到来を示しています。従来の「境界防御」の概念だけでは不十分であり、多層防御とゼロトラストアプローチの重要性がますます高まっています。
特に中小企業においては、限られたリソースの中で効果的な対策を講じる必要があります。アンチウイルスソフト
による エンドポイント保護、VPN
による通信の暗号化、そしてWebサイト脆弱性診断サービス
による定期的な脆弱性検査を組み合わせることで、このような高度な脅威に対してもある程度の防御が可能になります。
何より重要なのは、「完璧な防御は存在しない」という前提で、早期検知と迅速な対応体制を整えることです。攻撃を100%防ぐことは困難でも、被害を最小化し、事業継続性を確保することは可能なのです。
一次情報または関連リンク
Cisco ASA・Firepower製品にゼロデイ脆弱性、サイバー攻撃で悪用される:早期軽減策推奨(CVE-2025-20333、CVE-2025-20362)
