Cisco製ネットワーク機器に、深刻な脆弱性。米CISAが緊急指令を発出
米時間2025年9月25日、アメリカのCISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁)はCisco製ネットワーク機器のゼロデイ脆弱性を受け、連邦政府機関に対応を命じる緊急指令「ED 25-03」を発出した。
緊急指令「ED 25-03」とは単なる警告ではなく、極めて深刻な脆弱性に対する「行動命令」である。
これは、国家レベルの高度な脅威アクター(APT)による広範な攻撃キャンペーンが確認されたことを受けた措置であり、我々日本の民間企業の運用者にとっても、決して対岸の火事とは言えない。
この記事では、システム運用・監視の現場に立つ我々が、この指令の本質を理解し、今すぐ取るべき具体的なアクションを、技術的な背景と合わせて深く、そして分かりやすく解説する。
参考記事:
ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices(CISA公式発表)
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability(Cisco公式発表)
緊急指令「ED 25-03」発出の背景
今回の指令の背後には、2024年4月に報告された「ArcaneDoor」キャンペーンで知られる国家レベルの脅威アクター(UAT4356、別名Storm-1849)による攻撃活動の継続が確認された点にある。
これは全く新しい攻撃ではなく、以前から続く脅威が看過できないレベルに達したことを示している。今回も同様の手口でCisco製品の脆弱性を悪用していると見られる。
この攻撃の特筆すべき点
この攻撃の特筆すべき点は、一度侵入すると、機器のROMMON (ROM Monitor) を改ざんし、永続的なバックドアを仕込む能力を持つことである。
ただし、Ciscoの報告によれば、このROMMONレベルでの改ざんは、主にSecure Boot機能を持たない旧世代のASAデバイス(ASA 5500-Xシリーズなど)で確認されており、新しいモデルではSecure Boot機能によって改ざんが検知可能とされている。
とはいえ、旧世代機も依然として多く稼働しており、OSの再起動やファームウェアのアップグレードを行っても攻撃者の潜伏が継続する可能性は、検知や完全な駆除を極めて困難にし、ネットワークインフラの完全な乗っ取りに繋がりかねない、極めて重大なリスクである。
特に問題視される、2つの脆弱性
CISAが特に問題視しているのは、Known Exploited Vulnerabilities (KEV) カタログ(CISAが公開している、実際に攻撃者に悪用されていることが確認された脆弱性のリスト)に追加された、2つの脆弱性である。
| CVE | 詳細 |
|---|---|
| CVE-2025-20333 | VPN Webサーバーにおける入力値の検証不備。認証済みのリモート攻撃者が巧妙に細工したHTTPリクエストを送信することで、root権限で任意のコードを実行できてしまう。 CVSS基本スコアは9.8(緊急)と評価されている。 |
| CVE-2025-20362 | こちらもVPN Webサーバーの脆弱性で、認証されていないリモート攻撃者が認証をバイパスし、本来保護されているべき特定のURLエンドポイントにアクセスすることを許可してしまう。 CVSSスコアは6.5(中:Medium)と評価されているが、前述のCVE-2025-20333と連鎖的に悪用されることで、外部からの侵入を容易にする。 |
※参考:CVE公式情報 (CVE-2025-20333、CVE-2025-20362)
これらの脆弱性が組み合わされることで、外部の攻撃者が認証を回避し、ファイアウォールというネットワークの関所を完全に支配下に置くことが可能になる。
対象となるのは、Cisco Adaptive Security Appliance (ASA) ソフトウェアおよび Cisco Firepower Threat Defense (FTD) ソフトウェアであり、世界中の多くの企業で利用されている極めて一般的なセキュリティ製品が影響を受ける。
CISAが命じる、具体的なアクションプラン
この指令は連邦政府機関向けに課されたものであり、民間企業に法的な拘束力はない。
しかし、脅威の深刻度を鑑み、CISAはすべての組織に対して迅速な対応を強く推奨している。求められているアクションは、単なるパッチ適用にとどまらない。
| アクション | 内容 | 期限(連邦機関向け) |
|---|---|---|
| デバイスの特定 | ネットワーク内に存在する全てのCisco ASAおよびFirepowerデバイスを洗い出す。 | 即時 |
| 侵害調査 | CISAが提供する手順とツールに従い、メモリダンプを採取・提出し、侵害の有無を分析する。 | 2025年9月26日 |
| 隔離と報告 | 侵害が検知された場合、デバイスをネットワークから即座に隔離し(電源は落とさない)、CISAに報告する。 | 即時 |
| 更新または廃止 | 侵害が確認されなかったデバイスは、最新のソフトウェアに更新する。サポート終了(EoL)が近い機器は、計画的に廃止・交換する。 | 2025年9月26日 |
現場の運用者が今すぐやるべきこと
我々、現場の運用担当者は、この情報をどう受け止め、行動に移すべきか。
第一に、自社の資産管理情報を即座に確認し、Cisco ASAおよびFirepowerデバイスの有無、モデル、ファームウェアバージョンを正確に把握することだ。
第二に、該当デバイスが存在する場合、Ciscoが公開しているセキュリティアドバイザリとCISAの指令内容を精査し、自社の環境に即したパッチ適用計画を策定する。 サービス影響を最小限に抑えるためのメンテナンスウィンドウの確保、そして万一の事態に備えた設定情報のバックアップは必須である。
第三に、IDS/IPSやSIEMなどの監視システムにおいて、不審なHTTP(S)リクエストや、該当デバイスからの異常な通信パターンを検知するルールを見直し、強化すること。攻撃の初期段階を捉えるための重要なステップとなる。
まとめ
CISAによる緊急指令「ED 25-03」は、Cisco製ネットワーク機器を標的とした、かつてなく巧妙で持続的なサイバー攻撃が現実の脅威となっていることを示している。
特に、ROMMONレベルでの改ざんが行われる可能性は、システムの再起動やアップデートといった従来型の対応策では脅威を除去できないことを意味し、我々の防御戦略もそれに応じて進化させる必要がある。
これは単なる脆弱性対応ではなく、自社のネットワークインフラの根幹を守るための、プロアクティブな防衛活動である。資産の正確な把握、迅速な情報収集、そして計画的かつ確実な対応。
これら運用現場の基本動作こそが、ビジネスを深刻なサイバー攻撃から守る重要な道筋だ。
この記事をシェア
