企業のネットワークインフラを支えるシスコ製デバイスが、新たなサイバー攻撃の標的となっています。トレンドマイクロが報告した「Operation Zero Disco」と名付けられた攻撃キャンペーンは、先月修正されたばかりのゼロデイ脆弱性CVE-2025-20352を悪用し、企業ネットワークの奥深くに侵入してルートキットを展開する巧妙な手口を使っています。
この攻撃は特に、EDRソリューションを導入していない古いLinuxシステムや、レガシーなシスコ製デバイスを狙い撃ちしており、多くの中小企業や個人事業主のネットワークが危険に晒されているのが現状です。
CVE-2025-20352とは何か?攻撃者が狙う脆弱性の詳細
CVE-2025-20352は、シスコのIOS および iOS XE デバイスのSNMP(Simple Network Management Protocol)機能に存在するスタックオーバーフローの脆弱性です。この脆弱性の危険性は、攻撃者の権限によって以下のように変わります:
- 低権限の攻撃者:対象デバイスをDoS(サービス拒否)状態にすることが可能
- 高権限の攻撃者:リモートコード実行(RCE)による完全な制御を奪取可能
特に問題なのは、この脆弱性が2025年9月24日にシスコから公式パッチが提供される以前から、実際に攻撃で悪用されていたことです。つまり、パッチ適用が遅れている企業は現在も攻撃リスクに晒されている可能性が高いということになります。
「Operation Zero Disco」の攻撃手法を徹底解析
トレンドマイクロの調査により明らかになった「Operation Zero Disco」の攻撃手法は、従来のマルウェア攻撃とは一線を画す巧妙さを持っています。
標的となるデバイス
攻撃者が主に狙っているのは以下のシスコ製デバイスです:
- Cisco 9400シリーズ
- Cisco 9300シリーズ
- レガシーシリーズ3750G
32ビットシステムへの攻撃手順
- 初期侵入:悪性SNMPパケットを使用して標的デバイスにコマンドを送信
- 権限昇格:CVE-2017-3881(Telnetの脆弱性)のエクスプロイト改変版を使用
- メモリ操作:任意のアドレスでメモリの書き込み・読み取りを実行
- ルートキット展開:システム深部にルートキットを設置
64ビットシステムへの攻撃手順
- ルートキット展開:SNMPエクスプロイトを使ってルートキットを直接展開
- バックドア設置:「disco」というユニバーサルパスワードでログイン後、ファイルレスバックドアをデプロイ
- ラテラルムーブメント:異なるVLANへの接続を通じて攻撃範囲を拡大
なぜ「disco」なのか?攻撃者の心理と命名の意図
この攻撃キャンペーンが「Operation Zero Disco」と名付けられた理由は、攻撃者が設定するユニバーサルパスワードにあります。攻撃者は「Cisco」の1文字を変更した「disco」という文字列をパスワードとして使用しており、これは明らかにシスコ社に対する挑発的なメッセージと考えられます。
このようなネーミングセンスから、攻撃者は高度な技術力を持つだけでなく、標的企業への心理的プレッシャーも狙っていることが伺えます。
企業が直面する現実的な被害シナリオ
現役CSIRTとして数多くのインシデント対応に携わってきた経験から、この攻撃による典型的な被害シナリオをお話しします。
ケーススタディ:中堅製造業A社の事例
昨年、従業員200名の製造業A社で実際に発生したインシデントでは、レガシーなシスコ製スイッチを狙った同様の攻撃が確認されました。攻撃者は以下の手順で被害を拡大させていました:
- 初期侵入:古いCatalyst 3750Gスイッチの脆弱性を悪用
- 内部偵察:ネットワーク設定情報を収集し、重要システムを特定
- 権限昇格:管理者権限を取得し、全社的なネットワーク監視を開始
- データ窃取:約3ヶ月間にわたり顧客情報や設計図面を窃取
この事例では、発見が遅れた結果、復旧費用だけで500万円以上、信用失墜による機会損失を含めると数千万円規模の被害となりました。
今すぐできる対策と長期的なセキュリティ戦略
緊急対応チェックリスト
まずは以下の緊急対応を実施してください:
- パッチ適用状況の確認:CVE-2025-20352のパッチが適用されているか全デバイスを点検
- SNMPサービスの見直し:不要なSNMPサービスの無効化
- ログ監視の強化:異常な認証試行や「disco」文字列の検出
- ネットワークセグメンテーションの確認:重要システムの分離状況を点検
中長期的なセキュリティ強化策
根本的な対策として、以下のセキュリティ基盤整備をお勧めします:
1. エンドポイント保護の強化
今回の攻撃はEDRソリューションを導入していないシステムを狙い撃ちしています。個人や中小企業でも導入しやすいアンチウイルスソフト
の導入を検討し、リアルタイムでの脅威検知体制を構築することが重要です。
2. ネットワーク通信の暗号化
攻撃者は通信を傍受してネットワーク情報を収集します。リモートワークが増加している現在、VPN
を使用して通信経路を暗号化し、攻撃者による盗聴を防ぐことが効果的です。
3. Webアプリケーションの脆弱性対策
ネットワークデバイスだけでなく、Webアプリケーションの脆弱性も攻撃の入り口となります。Webサイト脆弱性診断サービス
を定期的に実施し、潜在的な脆弱性を事前に発見・修正することで、多層防御を実現できます。
フォレンジック調査で見えてきた攻撃者の実態
私がフォレンジックアナリストとして携わった複数の事例から、この種の攻撃を行う攻撃者グループの特徴が見えてきました。
攻撃者の技術レベルと動機
- 高度な技術力:ゼロデイ脆弱性を独自に発見・悪用する能力
- 長期的な視点:数ヶ月から数年にわたる潜伏期間を持つ
- 明確な目的意識:金銭的利益だけでなく、企業機密や国家機密の窃取も狙う
- 心理戦術の活用:「disco」のような挑発的な要素で企業の動揺を誘う
発見が困難な理由
この攻撃が特に危険なのは、以下の理由で発見が極めて困難だからです:
- ファイルレス攻撃:ハードディスクに痕跡を残さない
- 正規機能の悪用:SNMPなど正常な機能を悪用するため検知が困難
- メモリ内での活動:システム再起動で証跡が消える
- 暗号化通信:C&Cサーバーとの通信が暗号化されている
被害を最小化するインシデントレスポンス体制
万が一攻撃を受けた場合の対応手順を事前に整備しておくことが重要です。
初動対応(発見から24時間以内)
- 影響範囲の特定:感染デバイスの特定と隔離
- 証拠保全:メモリダンプとログの取得
- 外部通信の遮断:C&Cサーバーとの通信を停止
- 関係者への連絡:経営陣、IT部門、外部専門家への報告
復旧作業(1週間以内)
- システムの完全初期化:感染デバイスのクリーンインストール
- パッチ適用:最新のセキュリティ更新プログラムの適用
- 設定の見直し:セキュリティ設定の強化
- 監視体制の強化:継続的な監視システムの構築
まとめ:今こそ行動を起こすべき理由
「Operation Zero Disco」攻撃キャンペーンは、現代のサイバー脅威がいかに巧妙化・高度化しているかを示す典型例です。特に、EDRソリューションを導入していない中小企業や個人事業主は、今すぐにでもセキュリティ対策を見直す必要があります。
重要なのは、「うちは大丈夫だろう」という根拠のない安心感を捨て、現実的なリスクとして受け止めることです。サイバー攻撃による被害は、金銭的損失だけでなく、長年築き上げた信用やブランド価値の失墜にも直結します。
今回ご紹介した対策を一つずつ実装し、多層防御の考え方に基づいたセキュリティ体制を構築することで、このような高度な攻撃からも企業と顧客を守ることができるのです。
