なぜCiscoの脆弱性は狙われたか 政府機関を襲う「ArcaneDoor」攻撃の脅威

Cisco Systemsのファイアウォール製品で見つかった複数の脆弱性が高度な攻撃者に悪用されている。このため、政府機関には緊急の修正が求められている。攻撃者はROMを改ざんして永続的に潜伏する手口を使うという。

[Eric Geller，Cybersecurity Dive]

　政府機関がネットワーク製品の脆弱性のために困難な状況に陥っている。

　原因はCisco Systems（以下、Cisco）のネットワーク製品で見つかった脆弱（ぜいじゃく）性だ。

　2025年9月23日（現地時間、以下同）、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は米国の政府機関に対して、Ciscoのネットワーク製品に存在する複数の脆弱性を修正するよう命じた。CISAは「高度な攻撃者が複数のキャンペーンにおいて、これらの脆弱性を悪用している」と述べた。

政府機関を襲う「ArcaneDoor」攻撃の脅威

　CISAは緊急命令の中で「この攻撃活動は被害を受けた組織のネットワークに重大なリスクをもたらしている」とも述べた（注1）。CISAの命令では、脆弱なデバイスの特定と分析、修正の義務を各政府機関に課すスケジュールが定められている。

　米国機関に関係する2人の人物が、今回の攻撃キャンペーンによって、複数の連邦政府機関が侵害を受けたと『Cybersecurity Dive』に語った。この攻撃キャンペーンは、Ciscoが2024年4月に初めて明らかにした高度な作戦「ArcaneDoor」の延長にあるものだという（注2）。

　1人目の関係者は「世界中で少なくとも10の組織が侵害を受けた」と述べた。被害を受けた組織の数は今後さらに増える可能性がある。この関係者はキャンペーンについて「多くの不明な点が残っている」とも語った。

　2人目の関係者はこのキャンペーンを非常に高度なものと評して、攻撃者が使用したマルウェアは極めて複雑なものだと指摘した。さらに「CISAはこのたびの活動に深い懸念を抱いている。各機関が迅速に対応しなければ、深刻な事態に陥る可能性がある」とも語った。

　CISAの広報担当者は、連邦政府機関に対する侵害の影響について直ちにコメントを発表しなかった。

原因はCiscoのファイアウォール

　問題になっている脆弱性は3件ある。重大な深刻度の2件の脆弱性「CVE-2025-20333」と「CVE-2025-20363」と（注3、注4）、中程度の深刻度の1件の脆弱性「CVE-2025-20362」だ。いずれもCiscoの2種類のファイアウォール製品群に悪影響を及ぼす（注5）。対象はCiscoの「Adaptive Security Appliance」（ASA）と、ASAソフトウェアを実行する「Firepower Threat Defense」（FTD）だ。

　Ciscoによると、政府機関が支援を要請してきたのは2025年5月だったという。攻撃者が侵入しているかどうかを調査する目的だ。同社は2025年9月23日に発表した声明の中で「攻撃者が複数のゼロデイ脆弱性を悪用して、高度な回避技術を使っていたことが確認された」と述べた（注6）。

　中には、デバイスの読み取り専用メモリ（ROM）に組み込まれたソフトウェアを改ざんして、再起動やソフトウェアのアップグレードを経ても永続的に感染状態を維持できるようにする危険な手口も含まれていたという（※）。

（※）原文ではROM内のソフトウェアを改ざんするとあるが、これは正確な表現ではない。実際にはファームウェアのうち、書き換え可能領域に悪質なソフトウェアを埋め込んでいる（キーマンズネット編集部）。

　Ciscoはユーザーに対してソフトウェアを新しいバージョンへアップグレードするよう強く推奨した。脆弱性を修正して、侵入者の残した足掛かりを完全に排除するためだ。同社は「現在進行中の攻撃キャンペーンで、3つのうち2つの脆弱性が実際に悪用された証拠を確認した」と述べた。

　CISAは緊急指令の中で、ROM内に持続的に潜伏できるという攻撃者の懸念すべき能力を強調し、「攻撃者はその能力を遅くとも2024年の時点で示していた」と述べた。

　CISAは各政府機関に対して、2025年9月24日までに脆弱なデバイスのフォレンジックイメージ（鑑識用データ）を提出するよう指示した。その後、各機関に次の3つの対応を求めた。1つ目は同年9月30日にサポートが終了したCisco ASAのデバイスをネットワークから恒久的に切り離す。2つ目はサポートの対象となっているデバイスを同年9月24日までに新しいファームウェアにアップデートすることだ。3つ目は同年10月3日までに対応状況をCISAに報告することだ。

英国のNCSCとCISAが協力体制を構築

　英国国家サイバーセキュリティセンター（NCSC）も2025年9月23日にCiscoの脆弱なデバイスのアップグレードを組織に呼び掛けた（注7）。同時に実際の攻撃で使用された2種類のマルウェアの分析結果も公開した（注8）。

　前述の米国機関に関係する1人目の人物によると、CISAとNCSCは調査において極めて緊密に協力してきたという。この連携について「国際的なパートナーとの連携として、これまで知る中で最も深い技術的な協力関係だ」と述べた。米国側は業界や情報機関からの通報を通じて侵入を把握したとしつつ、NCSCの従業員がArcaneDoorの活動について高度な専門知識を有していたことを明らかにした。

　Ciscoが最初にArcaneDoorの攻撃キャンペーンを公表した際、同社は攻撃を「UAT4356」と名付けた攻撃者によるものだとしていた。同社は次のように述べた。

　「攻撃者はスパイ活動を明確に目的とした独自のツールを使用しており、標的とするデバイスについて深い知識を持っていた。これらは国家から支援を受けて活動する高度な攻撃者の典型的な特徴だ」

　米国機関の1人目の関係者によると、今回の新たなキャンペーンにはUAT4356の行動パターンとの一致点があるという。

　Ciscoは2024年にArcaneDoorについて公表した際、エネルギーや通信といった重要インフラ分野で使用されているネットワークの境界に設置された自社製品への侵入を試みる活動が、劇的かつ持続的に増加していると指摘した。

　「これらのデバイスはネットワーク内外を行き交うデータの重要な経路だ。そのため定期的かつ迅速にパッチを適用して、最新のハードウェアやソフトウェアのバージョンや設定を維持し、セキュリティの観点から常に厳重に監視されなければならない。攻撃者がこれらのデバイスに足掛かりを得てしまうと、組織内部へ直接侵入し、通信経路を変更したり、データを改ざんしたり、ネットワーク上の通信を監視したりすることが可能になる」（Cisco）

出典：CISA orders feds to patch Cisco flaws used in multiple agency hacks（Cybersecurity Dive）
注1：ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices（CISA）
注2：ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices（Cisco Talos Blog）
注3：CVE-2025-20333 Detail（NIST）
注4：CVE-2025-20363 Detail（NIST）
注5：CVE-2025-20362 Detail（NIST）
注6：Cisco Event Response: Continued Attacks Against Cisco Firewalls（Cisco Systems）
注7：NCSC warns of persistent malware campaign targeting Cisco devices（National Cyber Security Centre）
注8：Malware Analysis Report（National Cyber Security Centre）