米国の政府機関において、Cisco製ネットワーク機器が不正アクセスを受け、新たなバックドア型マルウェア「FIRESTARTER」が仕込まれていたことが報告されています。このマルウェアは、通常のアップデート後も残存する特性があり、攻撃者による長期的なアクセス維持を可能にするとされています。特に境界防御機器を狙った攻撃の巧妙化が示唆されています。
The Hacker News:FIRESTARTER Backdoor Hit Federal Cisco Firepower Device, Survives Security Patches
この記事のポイント
影響のあるシステム
- Cisco Secure ASA(Adaptive Security Appliance)ソフトウェアを実行する機器
- Cisco Firepower Threat Defense(FTD)搭載デバイス
- CVE-2025-20333(CVSS 9.9)の影響を受ける環境(VPN認証情報が必要)
- CVE-2025-20362(CVSS 6.5)の影響を受ける環境
推奨される対策
- ベンダー提供の修正済みバージョンへのアップグレード
- 侵害が疑われる場合は機器の再イメージ化(初期化と再構築)
- 暫定対策として電源ケーブルを抜き差しするコールドリスタートの実施
- 機器設定の信頼性を再確認し、必要に応じて再構成
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE-2025-20333:認証済みユーザーが細工されたリクエストにより任意コードを実行できる脆弱性です。
- CVE-2025-20362:未認証でも特定のURLへアクセス可能となる不備です。
- バックドア:攻撃者がシステムへ再侵入するために仕込む不正なアクセス経路です。
- APT:高度で持続的な攻撃を行う組織的なサイバー攻撃者を指します。
侵害の概要と想定される被害
今回報告された事案では、米国の連邦機関が利用していたCisco Firepowerデバイスが侵害され、FIRESTARTERと呼ばれるマルウェアが組み込まれていたとされています。このマルウェアはバックドアとして機能し、攻撃者が遠隔から継続的にアクセスできる状態を維持します。特に問題とされているのは、通常のセキュリティパッチを適用した後も、このマルウェアが除去されずに残る可能性がある点です。これにより、組織は「対策済み」と認識していても、実際には攻撃者のアクセスが継続しているリスクがあります。ネットワークの出入口に位置する機器が侵害されることで、通信内容の監視や改ざんなど、広範な影響が及ぶ可能性が指摘されています。
技術的な仕組みと持続性の理由
FIRESTARTERはLinuxの実行ファイル形式で構成され、機器の起動プロセスに介入することで永続化を実現していると報告されています。具体的には、起動時に読み込まれる設定に細工を加え、通常の再起動後でも自動的にマルウェアが再実行される仕組みを持ちます。また、ネットワーク処理を担う中核コンポーネントにフックを仕込み、攻撃者が任意のコードを実行できる状態を構築します。この仕組みにより、追加の攻撃ツールの展開や監視回避などが可能になるとされています。さらに、関連するツール「LINE VIPER」が併用されることで、VPN認証の回避やログの抑制といった高度な操作も実現されていたとされています。
国内組織が直ちに確認すべきポイント
日本国内の企業や組織においても、同様のネットワーク機器を利用している場合は注意が必要です。特にCisco ASAやFTDを境界防御に使用している場合、過去に脆弱性が悪用された可能性を否定できません。パッチ適用だけでは不十分なケースがあるため、侵害の兆候が確認された場合は機器の再構築を検討する必要があります。また、設定情報が改ざんされている可能性もあるため、既存の構成をそのまま信頼しない姿勢が重要です。加えて、ログ監視や通信の異常検知を強化し、不審な挙動がないか継続的に確認することが求められます。境界機器は見落とされがちな領域ですが、攻撃者にとっては重要な侵入口となり得るため、優先的な点検が推奨されます。
参考文献・記事一覧
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
Hack The Box Business CTF 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
最新の投稿
2026.05.03Cisco Firepower侵害で新マルウェア、パッチ適用後も残存の可能性- 2026.05.02防衛ソフトを狙う巧妙ななりすまし攻撃、NASAや大学が被害
- 2026.04.29Apache ActiveMQに重大脆弱性、実環境で悪用確認—即時アップデートが必要
- News2026.04.28Vercelがセキュリティインシデントを公表、一部環境変数と顧客認証情報に影響の可能性
