Ciscoのファイアウォールが5万台、脆弱性が残ったまま放置 日本でも見つかる

Ciscoのファイアウォールのうち、約5万台が深刻な脆弱性が残ったままインターネットに接続されていることが分かった。日本でも発見されている。この脆弱性を悪用した巧妙なサイバー攻撃が既に展開されており、企業は迅速な対応が必要だ。

[Eric Geller，Cybersecurity Dive]

　Cisco Systems（以下、Cisco）のファイアウォール機器約5万台が脆弱（ぜいじゃく）性について対処されないままインターネットに接続されている。

　サイバーセキュリティ分野で活動する非営利団体のThe Shadowserver Foundation（以下、Shadowserver）はCiscoの「Adaptive Security Appliance」と「Firepower Threat Defense」の脆弱性対応が進んでいないことを発表した（注1）。

脆弱性が残ったまま放置　日本でも見つかる

　Shadowserverによれば、ユーザー側の対処が進んでいない脆弱性は3つある（注2）。

　これらの脆弱性は2025年9月25日（現地時間、以下同）に公表された。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は危機感を募らせており、ユーザーに対してパッチをすぐに適用するように促す命令を異例のスピードで発した（注3）。

　Shadowserverの集計によると、これらの脆弱性にパッチを適用していないデバイスの数は群を抜いて米国に多く、脆弱な機器は1万9000台を超えていた。2位は英国で、2700台以上の脆弱な機器が確認されており、日本やドイツ、ロシアが続いていた。その他の欧州諸国では、脆弱な機器の数はいずれも1000台未満だった。

　今後Shadowserverは数週間程度、データ収集を続けるという。各国がどの程度素早く脆弱性に対処して露出リスクを低下させていくかが、データ収集の結果明らかになるだろう。

　専門知識を持つ攻撃者は、Ciscoの機器に関連して新たに発見された2つの脆弱性「CVE-2025-20362」と「CVE-2025-20333」を悪用しており（注4、注5）、複数の米国連邦機関や世界中の組織を狙って巧妙なサイバー攻撃キャンペーンを展開中だ。

　どちらの脆弱性もHTTPSリクエストの検証不備に起因しており、Ciscoのファイアウォールが認証を回避するための悪意あるリクエストを受け入れてしまう可能性がある。CVE-2025-20362を悪用した攻撃者は制限されたVPN関連のURLにアクセスできる可能性があり、CVE-2025-20333ではroot権限を得て任意のコードを実行できる可能性がある。

　米国の連邦政府機関は、これらの脆弱性に対してパッチを適用したかどうか、または他の方法で対策を講じたかどうかを2025年10月2日までにCISAへ報告しなければならない。なお、日本政府の機関にはこのような対応は求められていない。

出典：Cisco firewall flaws endanger nearly 50,000 devices worldwide（Cybersecurity Dive）
注1：World map（The Shadowserver Foundation）
注2：Cisco Event Response: Continued Attacks Against Cisco Firewalls（Cisco Systems）
注3：CISA orders feds to patch Cisco flaws used in multiple agency hacks（Cybersecurity Dive）
注4：CVE-2025-20362 Detail（NIST）
注5：CVE-2025-20333 Detail（NIST）