Ciscoは11月5日、同社のASAおよびFTDファイアウォールに対する新たな攻撃変種を確認したと発表した。これはCVE-2025-20333とCVE-2025-20362を悪用し、パッチ未適用デバイスを継続的に再起動させてサービス拒否状態を引き起こすものである。
5月から続くこの攻撃は、ArcaneDoor攻撃を展開した政府支援型脅威グループUAT4356によるもので、少なくとも1つの米政府機関を含む重要インフラが被害を受けている。ROMmon改変による持続的な侵害も確認されており、通常のパッチ適用では駆除が困難な状況が生じている。
別途、Unified CCXソフトウェアにおける2つの重大な脆弱性CVE-2025-20354(CVSS評価9.8)とCVE-2025-20358(CVSS評価9.4)も公開され、修正版12.5 SU3 ES07または15.0 ES01へのアップグレードが推奨されている。
From: 
Cisco warns of ‘new attack variant’ battering firewalls – The Register
【編集部解説】
今回のCiscoファイアウォールへの攻撃は、エンタープライズネットワークセキュリティにおける構造的な脆弱性を浮き彫りにしています。
最も注目すべき点は、攻撃の継続期間です。5月から6ヶ月にわたって攻撃が続いており、9月にパッチが提供された後も新たな攻撃の変種が登場しました。これは攻撃者が単一の脆弱性を悪用するだけでなく、Ciscoのファイアウォールアーキテクチャそのものに対する深い理解に基づいた、体系的な攻撃キャンペーンを展開していることを示しています。
攻撃の手法も極めて高度です。CVE-2025-20333およびCVE-2025-20362が影響を受けるファイアウォールに対して、複数の脆弱性を組み合わせた攻撃手法が用いられています。さらに注目すべきは、ROMmon(ROM Monitor)というブートストラッププログラムを改変することで、デバイスの再起動やファームウェアアップグレード後も持続性を確保している点です。これは通常のパッチ適用では駆除できない、極めて厄介な攻撃手法と言えます。
この攻撃は、政府支援型の脅威グループUAT4356によるものとされています。同グループは2024年4月のArcaneDoor攻撃でも知られており、今回はその進化版とも言える攻撃を展開しています。標的が政府機関や通信ネットワークといった重要インフラであることから、国家レベルのサイバースパイ活動の一環と考えられます。
企業のセキュリティ担当者にとって、この事案が突きつける課題は明確です。従来の境界防御型セキュリティモデル、つまりファイアウォールやVPNといった「境界」を守る発想そのものが限界に達しているということです。これらのデバイス自体が攻撃の標的となり、しかも一度侵害されると内部ネットワーク全体への侵入経路となってしまいます。
別途公開されたUnified CCXの2つの脆弱性も深刻度の高いものです。CVE-2025-20354はCVSS評価9.8、CVE-2025-20358は9.4という、いずれも「緊急」レベルの脆弱性で、root権限での任意コード実行や認証バイパスを許してしまいます。現時点では実際の攻撃は確認されていませんが、脆弱性の詳細が公開された以上、時間の問題と考えるべきでしょう。
今回の事案は、ゼロトラストアーキテクチャへの移行を検討する重要な契機と言えます。ネットワークの「境界」という概念を前提とせず、すべてのアクセスを検証し、最小権限の原則に基づいてリソースへのアクセスを制御する。この考え方が、現代の高度化したサイバー脅威に対抗する上で不可欠になっています。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
共通脆弱性識別子。ソフトウェアやハードウェアに存在するセキュリティ上の脆弱性を一意に識別するための標準化された識別番号である。CVE番号によって世界中のセキュリティ関係者が同じ脆弱性について共通認識を持つことができます。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を数値化する評価システムで、0.0から10.0のスコアで表されます。9.0以上は「緊急(Critical)」とされ、即座の対応が必要とされる。
ASA(Adaptive Security Appliance)
Ciscoが提供するファイアウォール製品シリーズ。企業ネットワークの境界防御に広く使用されており、VPN機能やアクセス制御機能を統合したセキュリティアプライアンスである。
FTD(Firepower Threat Defense)
Ciscoの次世代ファイアウォール製品。従来のファイアウォール機能に加え、侵入防御システム(IPS)やマルウェア対策などの高度な脅威防御機能を統合しています。
ROMmon(ROM Monitor)
Ciscoデバイスのブートストラッププログラム。デバイスの電源投入時やリセット時に最初に起動するファームウェアで、OSの起動や緊急時の復旧作業に使用されます。このプログラムが改変されると、通常の方法では駆除が困難な持続的な侵害が可能になる。
Java RMI(Remote Method Invocation)
Javaプログラム間で遠隔地のオブジェクトのメソッドを呼び出すための仕組み。分散システムの構築に使用されるが、適切に保護されていない場合、攻撃の入口となる。
【参考リンク】
Cisco Secure Firewall ASA 公式サイト(外部)
Cisco ASAファイアウォールの公式サポートページ。製品仕様やアップグレード情報を提供しています。
Cisco Unified Contact Center Express 公式サイト(外部)
UCCX製品の公式ページ。安全性に優れたオンプレミス型ソリューションの情報を提供しています。
Cisco Event Response セキュリティアドバイザリ(外部)
今回の継続的攻撃に関する公式セキュリティアドバイザリ。攻撃の詳細と対策が掲載されています。
IPA セキュリティアラート(外部)
情報処理推進機構による脆弱性に関する注意喚起。日本語で対策が説明されています。
【参考記事】
Cisco Warns of New Firewall Attack Exploiting CVE-2025-20333 and CVE-2025-20362(外部)
新たな攻撃の変種について、脆弱性を連鎖させた攻撃手法と技術的詳細を解説しています。
CVE-2025-20333 技術詳細(外部)
CVSS評価9.9の脆弱性について、評価根拠と影響範囲を詳細に解説しています。
カナダサイバーセキュリティセンターアドバイザリ(外部)
政府機関向けに脆弱性の影響範囲と緊急対応の必要性を説明しています。
ArcaneDoor キャンペーン詳細分析(外部)
UAT4356が展開したバックドアの技術的特徴と攻撃の進化について説明しています。
【編集部後記】
今回のCiscoファイアウォールへの攻撃は、私たち自身のネットワークセキュリティを見直すきっかけになるかもしれません。企業のファイアウォールが「守ってくれるもの」から「狙われるもの」へと変化している現実を目の当たりにすると、境界防御だけに頼る時代は終わりつつあることを実感します。
みなさんの組織では、セキュリティ機器のアップデート管理やログ監視の体制は整っているでしょうか。また、万が一境界が突破された場合の多層防御の仕組みは考えられているでしょうか。この機会に、ゼロトラストという新しいセキュリティの考え方について、一緒に学んでいけたらと思います。
