パッチでは消えないバックドアFIRESTARTER、米Ciscoに潜伏
米連邦機関のCisco製ファイアウォールから、パッチを当てても居座り続ける新種のバックドア「FIRESTARTER」が見つかった。駆除には電源コードを抜くしかない。
米連邦機関のCisco製ファイアウォールから、パッチを当てても居座り続ける新種のバックドア「FIRESTARTER」が見つかった。駆除には電源コードを抜くしかない。
パッチが効かない侵入者
米サイバーセキュリティ・インフラセキュリティ庁(CISA)と英国国家サイバーセキュリティセンター(NCSC)が、Cisco製ファイアウォールに潜伏するバックドア「FIRESTARTER」について全組織に警告を出している。4月23日に共同解析レポートが公開され、標的はCisco Secure Firewall ASA(Adaptive Security Appliance)およびFirepower Threat Defense(FTD)で動作する機器。米連邦文民行政機関(FCEB)の1組織が実際に侵入を受けていた。機関名は伏せられている。
問題は侵入の事実そのものより、その後の挙動にある。CISAによれば、攻撃者はまず既知の脆弱性CVE-2025-20333(リモートコード実行、CVSS 9.9)とCVE-2025-20362(未認証アクセス、CVSS 6.5)を突いて初期侵入を果たし、「LINE VIPER」と呼ばれるポスト侵害ツールキットを展開した。そこから永続化のために別途仕込まれたのがFIRESTARTERだ。
Ciscoが9月に配布したパッチで脆弱性そのものは塞がれた。しかし、すでに侵入済みの機器に居座ったFIRESTARTERはファームウェア更新後も生存する。攻撃者はパッチ後の2026年3月に再びアクセスを取り戻しており、管理者視点では「修正済み」と信じていた半年間、裏口は開いたままだったことになる。
電源コードを抜け、という異例の指示
FIRESTARTERが生き残る仕組みは、Cisco機器のブート設定ファイル「CSP_MOUNT_LIST」を書き換えることにある。デバイスが再起動シグナルを受け取ると、マルウェアは自身を別の場所にコピーしてマウントリストに仕込み直し、起動時に再び自動実行される。起動が完了すると、仕込みの痕跡は元に戻して削除される。スナップショットを取っても、再起動後の静止状態では消えている。
FIRESTARTERは通常の再起動では除去できない。電源コードを物理的に抜き、もう一度差し直す「ハードリブート」を行ったときにのみ、永続化の痕跡がメモリから完全に消える。
この指示は、今回の事案の特殊さをよく表している。Ciscoは顧客への推奨として、shutdown、reboot、reloadといったCLIコマンドでは除去できず、電源ケーブルを抜いて差し直す必要があると明言した。データセンターでラックマウントされた境界防御装置に向かって、管理者に「コンセントを抜いてこい」と言っているに等しい。ハードウェア交換を含めた大掛かりな対応を前提にした指示と言ってよい。
Ciscoはさらに一歩踏み込み、感染が確認された機器は全構成要素を信頼できないものとして扱うべきだとした。設定ファイル、証明書、認証情報のすべてを「汚染済み」として扱い、再イメージング後に入れ替える前提での復旧を求めている。
確認された侵害がどのCisco Secure ASAまたはFTDプラットフォームで発生していても、そのデバイスのすべての構成要素は信頼できないものとして扱うべきである。(Cisco公式アドバイザリ)
これは通常の「マルウェア駆除」ではなく、機器そのものを一度リセットする水準の対応だ。
誰がやっているのか、という空白
攻撃を手掛けたグループをCisco Talosは「UAT-4356」、Microsoftは「Storm-1849」として追跡している。同グループは2024年にCisco Talosが公表した諜報キャンペーンArcaneDoorの背後にいるとされ、世界各国の政府所有ネットワーク境界装置を標的にしてきた実績がある。
注目すべきは、公式に名指しされた国家が今回もないことだ。CiscoもCISAも、米国が名指しで敵視する4か国(中国・ロシア・イラン・北朝鮮)のいずれかを特定することを避けている。ただし、攻撃面管理プラットフォームのCensysは2024年5月の分析で、ArcaneDoorの攻撃インフラが中国の複数のネットワークと紐づくとする調査結果を出していた。FIRESTARTERの発表と同じ週には、中国系アクターによるSOHOルーターの「カバートネットワーク」化に対する10か国合同警告も出ている。文脈としての示唆は十分に読み取れる。
もっとも、公式な帰属(アトリビューション)がされていない以上、地政学的な断定は慎むべきだろう。読み取るべきは、国家の名前よりも手口の成熟度だ。ゼロデイを連鎖的に使い、境界装置の内部構造を熟知し、フォレンジック回避機構まで備えたマルウェアを投入してくる。この規模の作戦は個別の犯罪グループに収まるものではなく、ネットワーク境界装置を狙う長期的な諜報プログラムが稼働していることを示している。
FCEBが問われた「半年の空白」
今回のインシデントには、もう一つ見落とせない論点がある。時系列だ。
CISAの説明によれば、FIRESTARTERが当該機関のFirepower機器に仕込まれたのは2025年9月25日より前のこと。Ciscoがパッチを公開し、CISAが緊急指令ED 25-03を出したのが9月25日。そして攻撃者が再びアクセスを取ったのが2026年3月。最初の侵入から再侵入の確認まで、およそ半年の空白がある。
FCEBは全連邦文民行政機関(Federal Civilian Executive Branch)の総称であり、NASA、国土安全保障省、FBI、司法省、内国歳入庁、退役軍人省、保健福祉省などを含む広範な組織群を指す。
この半年間、当該機関はパッチを当てて「対応済み」と判断していた可能性が高い。CISAの継続的ネットワーク監視が異常な通信を検知したことで初めて、残存するバックドアの存在が明らかになった。外部からの継続監視がなければ気付けなかったことになる。同じ手口が他の機関や民間の重要インフラ事業者に仕込まれていても、自力での検知は極めて困難だろう。
CISAは改訂版のED 25-03で、全FCEB機関にCiscoファイアウォールのコアダンプを「マルウェアNext Gen」ポータルへ提出するよう命じた。期限は4月24日23時59分(米東部時間)。5月1日までに全Cisco Firepower機器のインベントリ提出、感染が確認された機器は4月30日までにハードリセット(電源の物理的抜き差し)を行う必要がある。ホワイトハウスへの最終報告期限は8月1日だ。
境界防御という神話
エッジ装置を守るはずの製品が、攻撃の橋頭堡になっている。この構図は2024年のArcaneDoor以来、繰り返し指摘されてきたが、解決には至っていない。FIRESTARTERはそのシリーズの最新作であり、おそらく最後ではない。
ファイアウォール、VPNゲートウェイ、境界ルーターは、組織ネットワークの「外と内の境目」に位置する。一度乗っ取られれば、内部通信の復号・監視・改竄が自由にできる。しかも多くの場合、EDRやXDRの監視対象外に置かれ、ログも機器自身の内部に残るだけだ。攻撃者にとっては、検知されにくく権限が大きい、理想的な潜伏場所ということになる。
パッチは必要条件だが、十分ではない。今回の事案はその一点に尽きる。脆弱性を塞いでも、既に仕込まれたインプラントは残る。再イメージングが本当に実施されたか、ブートローダーまで書き換わっているか、設定ファイルに異物が混入していないか、すべてを疑って初めて「クリーン」と言える。これが境界装置を運用する側に突き付けられた現実だ。
CISAとNCSCの共同解析レポートは、YARAルールやIoC(侵害指標)を公開している。自組織の機器で同じ侵害が起きていないかを確認する手段は揃った。あとは、その手段を行使する覚悟があるかという話になる。コンセントを抜け、という指示が業務命令として回る日は、思ったより近い。
参照元
- CISA - FIRESTARTER Backdoor Malware Analysis Report (AR26-113A)
- CISA - V1: ED 25-03 Identify and Mitigate Potential Compromise of Cisco Devices
他参照
関連記事
- イラン「米国が通信機器のバックドアを発動」、中国が便乗
- 17年前のExcel脆弱性が現役、CISAが異例の短期警告
- Adobe Readerゼロデイ、4か月潜伏とCVSS降格
- Adobe Readerゼロデイ、PDFを開くだけで情報流出
- ロシアGRU、家庭用ルーター1万8000台を乗っ取りOutlook認証情報を窃取
- イラン系ハッカー、米国の水道・電力を「実際に破壊」──FBIが異例の緊急警告
- Claude Mythosが越えた一線、サイバー攻防の新段階
- 米CISA長官候補のプランキー、13カ月の審議停滞を経て辞退
- RDPのフィッシング対策ダイアログが自分自身のバグで読めない
- 「危険すぎて公開できない」AIが発表当日に不正アクセスされていた
