シスコ製ファイアウォールに潜む持続的バックドア、米英当局が警告
米国と英国のサイバーセキュリティ当局は2026年5月8日、国家支援ハッカーがシスコのネットワークセキュリティ機器にカスタムバックドア「Firestarter」を埋め込み、ファームウェア更新や通常の再起動後も存続することを確認したと発表した。この脅威は少なくとも2025年後半から政府機関や重要インフラを標的とした攻撃キャンペーンの一環で、米国の連邦機関に対して緊急指令が発令された。
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)と英国の国家サイバーセキュリティセンター(NCSC)は共同でマルウェア分析レポートを発表。シスコの脅威インテリジェンス部門「Talos」は、このバックドアを「UAT-4356」と呼ばれる脅威アクターに帰属させた。同グループは2024年に「ArcaneDoor」と呼ばれるスパイ活動キャンペーンを実施し、ネットワーク境界機器の侵害に関与していたことが判明している。
連邦機関のシスコFirepowerにFirestarterを確認
CISAは、米国の連邦政府機関のシスコFirepowerデバイスにFirestarterが埋め込まれていることを確認。同機関はネットワーク監視を通じて不審な接続を検知し、その後の調査でバックドアを発見した。この発見を受け、CISAは5月8日に緊急指令を更新。全ての連邦政府機関に対し、シスコファイアウォールのインフラを監査し、デバイスのメモリスナップショットを分析用に提出するよう義務付けた。
パッチ適用後も存続するバックドアの脅威
今回の緊急指令の主な懸念は、ハッカーがシスコのセキュリティパッチ適用後もデバイス上に存続できる点にある。UAT-4356は2025年9月にシスコがリリースした2つの脆弱性(CVE-2025-20333とCVE-2025-20362)を悪用して初期侵入を果たした。しかし、パッチ適用前に侵害されたデバイスでは、Firestarterが依然として潜伏している可能性がある。
Firestarterは、シスコのService Platformマウントリスト(デバイス起動時に実行されるプログラムを制御する構成ファイル)を操作することで永続性を確保する。デバイスが再起動や終了シグナルを受けると、マルウェアは自身をセカンダリロケーションにコピーし、マウントリストを書き換えてシステム再起動後に再起動させる。通常のソフトウェア再起動ではこの仕組みを削除できず、物理的な電源切断(ハードリブート)のみが永続メカニズムをメモリから完全に消去できるという。
LINAへの悪意あるコード注入でVPN認証を悪用
Firestarterは、シスコのAdaptive Security ApplianceおよびFirepower Threat Defenseソフトウェアのコアネットワーキング・ファイアウォールコード「LINA」に悪意あるシェルコードを注入する。このマルウェアは通常VPN認証に使用されるネットワークリクエストを傍受し、隠しトリガーシーケンスを含むリクエストを検知すると、攻撃者が供給したコードを実行。これにより、デバイスへのバックドアが確立される仕組みだ。
ArcaneDoorキャンペーンとの関連性
シスコTalosによると、Firestarterは過去に確認された「RayInitiator」と呼ばれる別のマルウェアと技術的類似性が高く、UAT-4356のツール群が共通の起源を持つ可能性が示唆されている。CISAが分析した連邦機関の事例では、攻撃者はまず「Line Viper」と呼ばれる別のマルウェアを使用してデバイスの構成、認証情報、暗号化キーにアクセス。その後、2025年9月のシスコパッチ適用前にFirestarterをインストールした。パッチ適用後もFirestarterは存続し、攻撃者はこれを再利用してさらなる侵害を実行した。
今後の対策と影響
CISAは連邦機関に対し、以下の対策を実施するよう求めている。
- 全てのシスコファイアウォールの包括的な監査実施
- デバイスメモリのスナップショット提出(5月9日まで)
- ハードリブートの実施(可能な場合)
- ネットワークトラフィックの継続的な監視強化
シスコは顧客に対し、最新の脅威インテリジェンス情報を確認し、必要に応じて追加のセキュリティ対策を講じるよう呼びかけている。また、企業や組織は、ネットワーク境界機器のセキュリティを再評価し、侵害の兆候がないか監視することが推奨される。
「このバックドアは、従来のセキュリティ対策を回避する高度な手法で設計されている。組織は、単にパッチを適用するだけでなく、侵害の兆候を積極的に監視し、デバイスの完全な再イメージングを検討すべきだ」
— CISA幹部
関連記事
シスコ、深刻なゼロデイ脆弱性を悪用する攻撃を確認 – 管理者権限奪取のリスク
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
米国防総省幹部「先端AIは戦争を根本から変える革命的技術」
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
米ホワイトハウス高官が指摘:AI時代のサイバーセキュリティで「アイデンティティ管理」が最重要に
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
フォックスコン、北米工場へのサイバー攻撃を確認 8TBのデータ流出主張するランサムウェアグループが犯行声明
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI便分析アプリがユーザーの15万枚の便画像データベースを販売 — 倫理的・プライバシー問題で波紋
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI最新モデルが自律型サイバータスクのベンチマークを突破、専門家に衝撃
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
下院安全保障委員会、AIモデル「Mythos」のサイバー脆弱性検出能力を調査
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AIを悪用した詐欺となりすましの新たな脅威:企業が直面するリアルタイムのリスク
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...