Packet Pilot X (Twitter)
2025-11-02

オーストラリア信号局がCisco IOS XEデバイスへのBADCANDYサイバー攻撃を警告

オーストラリア信号局は、Cisco IOS XEデバイスに対するBADCANDYサイバー攻撃が継続していることを警告しています。この攻撃は、特にネットワーク機器に対するものであり、悪意のあるアクターが脆弱性を利用して侵入を試みています。Ciscoは、これらの攻撃に対する対策を講じており、ユーザーに対してもセキュリティの強化を呼びかけています。

メトリクス

このニュースのスケール度合い

7.0 /10

インパクト

8.5 /10

予想外またはユニーク度

8.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

10.0 /10

このニュースで行動が起きる/起こすべき度合い

9.5 /10

主なポイント

  • オーストラリア信号局は、BADCANDYと呼ばれるサイバー攻撃がCisco IOS XEデバイスに対して行われていると警告しています。
  • この攻撃は、特にネットワーク機器を狙ったものであり、脆弱性を悪用する手法が用いられています。

社会的影響

  • ! この攻撃は、企業のネットワークセキュリティに深刻な影響を及ぼす可能性があります。
  • ! 特に重要なインフラを持つ組織にとって、BADCANDY攻撃は大きなリスクとなります。

編集長の意見

BADCANDY攻撃は、特にネットワーク機器を狙った新たな脅威として注目されています。攻撃者は、Cisco IOS XEデバイスの脆弱性を利用して、システムに侵入し、情報を盗むことを目的としています。このような攻撃は、企業のネットワークセキュリティに対する信頼を損なう可能性があり、特に重要なインフラを持つ組織にとっては深刻なリスクとなります。オーストラリア信号局が警告を発した背景には、これらの攻撃が急増していることがあります。企業は、最新のセキュリティパッチを適用し、ネットワーク機器の監視を強化する必要があります。また、従業員に対するセキュリティ教育も重要です。今後、攻撃者はさらに高度な手法を用いる可能性があるため、企業は常に最新の脅威情報を把握し、適切な対策を講じることが求められます。特に、Ciscoデバイスを使用している企業は、セキュリティ対策を強化し、万が一の侵害に備える必要があります。

解説

ASDが警鐘:Cisco IOS XEのWeb UI悪用と“BADCANDY”系インプラント、境界機器を起点にした持続的攻撃が続行中です

今日の深掘りポイント

  • 境界ルータ/スイッチのWeb UIを突く初期侵入と、インプラント(通称BADCANDY)による管理プレーン支配という二段構えが再燃・継続している可能性が高いです。
  • 既知のCVE-2023-20198(CVSS 10.0)とその連鎖(CVE-2023-20273など)で得た特権から、アカウント作成・設定改変・HTTPハンドラ注入などの持続化が成立しやすいです。
  • ASDの警告は豪州域内に限定されない普遍的なリスクを示唆し、日本企業・重要インフラでも「未パッチ露出」「Web UI公開」の組み合わせが最大の攻撃面になり得ます。
  • メトリクスの示唆を総合すると「緊急性と実行可能性が高く(今すぐ動ける)、現実のインシデント化確率も高い」事案です。パッチ適用だけでなく、侵害痕跡ハンティングと再プロビジョニング前提の切り戻し計画まで含めた運用対応が鍵です。
  • 境界機器の侵害は「目立つ障害」を伴わず潜伏しやすく、認証情報の奪取・トラフィック観測・ルーティング/ACL書き換えなど、下流のSOC検知を鈍らせるのが本質的な厄介さです。

はじめに

オーストラリア信号局(ASD)が、Cisco IOS XEデバイスを狙う“BADCANDY”系のサイバー攻撃が継続中だと警告しています。これは2023年の重大ゼロデイ(CVE-2023-20198)悪用の系譜に位置づけられるもので、認証不要で特権を奪取し、Web UI経由で不正ハンドラやインプラントを植え込む手口が核にあります。豪州発の注意喚起ですが、対象は国境を持ちません。むしろ「外向きに露出した管理プレーン」「遅延したパッチ」「設定のベストプラクティスからの逸脱」が共通すれば、どの地域でも同様の侵害が成立します。

本稿では、CVEの技術的文脈とBADCANDYの位置づけを整理し、攻撃者視点の脅威シナリオをMITRE ATT&CKで仮説化します。そのうえで、SOC/ネットワーク運用の現場が即日着手できる実務的アクションに落とし込みます。

参考までに、CVE-2023-20198はCVSS 10.0のクリティカルで、2023年秋の時点から実際に悪用が観測されCISA KEVにも掲載された重大事案です。また、攻撃連鎖にCVE-2023-20273が関与した分析も知られています。BADCANDYは、その悪用後段で導入されるインプラント群の総称として研究者コミュニティで言及されてきた名称です。

  • CVE-2023-20198(NVD): https://nvd.nist.gov/vuln/detail/CVE-2023-20198
  • CVE-2023-20273(NVD): https://nvd.nist.gov/vuln/detail/CVE-2023-20273
  • CISA Known Exploited Vulnerabilities(KEV): https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • ASD警告の報道(アグリゲータ): https://malware.news/t/australian-signals-directorate-warns-of-ongoing-badcandy-cyberattacks-on-cisco-ios-xe-devices/100913

深掘り詳細

事実整理(プライマリ情報を軸に)

  • 2023年に露見したCisco IOS XEのWeb UIに関する重大脆弱性CVE-2023-20198は、認証なしで特権昇格が可能で、実際の悪用が広く確認されたクリティカル案件です。NVDはCVSS 10.0として登録しています。
    出典: NVD(CVE-2023-20198): https://nvd.nist.gov/vuln/detail/CVE-2023-20198
  • 攻撃チェーンの一部として、追加の脆弱性CVE-2023-20273が関連し得ることが分析されています(後段の持続化や任意コード実行に資する組み合わせ)。
    出典: NVD(CVE-2023-20273): https://nvd.nist.gov/vuln/detail/CVE-2023-20273
  • CISAのKEVカタログにCVE-2023-20198が掲載され、米国内でも「実際に悪用されている脆弱性」として継続注意が促されています。
    出典: CISA KEV: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • ASDは、Cisco IOS XEデバイスに対する“BADCANDY”系攻撃の継続について警告を発しており、国境を越えた横展開の懸念が示されています(報道経由)。
    出典: Malware News(ASD警告の報道): https://malware.news/t/australian-signals-directorate-warns-of-ongoing-badcandy-cyberattacks-on-cisco-ios-xe-devices/100913

注記:BADCANDYは特定の単一マルウェア名というより、研究者界隈で観測されてきたインプラント/Webハンドラ挿入のバリアント群を総称的に呼ぶラベルとして扱われることが多いです。個々の亜種が残す痕跡(HTTPエンドポイント、設定改変、ユーザ作成、ファイル配置の位置など)は変化します。

編集部のインサイト(仮説を明示)

  • 侵害の戻りやすさは「管理面の露出」と「ネットワーク機器への可視化の難しさ」が作ります。SOCはエンドポイントEDRやサーバ/ワークステーションの挙動には強いですが、L3/L7境界機器の“プロセス挙動・ファイル改変・HTTPハンドラ追加”といった観点は盲点になりがちです。攻撃者はこのギャップを突き、障害を起こさずに長期潜伏を図ります。
  • 2023年の大規模悪用から時間が経っても警告が続く理由は、未パッチ機器の長寿命性と、インプラント自体の亜種化にあります。仮説として、攻撃者は「露出したWeb UI → 無認証で特権 → ローカル管理者作成/HTTPハンドラ注入 → 後日アクセス」の一連を自動化し、在庫化(アセット化)している可能性が高いです。
  • “パッチ適用”は必要条件ですが十分条件ではありません。過去に侵害済みの機器は、パッチ後も不正アカウントや設定、HTTPハンドラが温存される可能性があります。現実的な対応は「パッチ+侵害痕跡ハント+クリーン再プロビジョニング(必要に応じて)+露出設計の是正」のパッケージ化です。
  • メトリクスの印象(高い緊急性・実行可能性・確度・信頼性)からは、「運用上の即応」を重視すべき事案です。重要インフラやSLA厳格な企業ほど、停止リスクを理由に先送りしがちですが、外部露出の管理プレーンは“止めずに守る”のではなく“止めて迂回路を作って守る”アーキテクチャに段階移行するのが長期的に合理的です(例:OOB専用回線、踏み台/管理VPNの強制、Web UI全廃)。

脅威シナリオと影響

以下はMITRE ATT&CKに基づく仮説シナリオです。実環境での痕跡は機種・バージョン・攻撃者の亜種に左右されるため、テクニックは代表例として提示します。

  • 初期侵入(Initial Access)
    • Exploit Public-Facing Application(T1190): インターネットに露出したIOS XEのWeb UIを悪用して、未認証で特権を取得します。
  • 権限昇格(Privilege Escalation)
    • Exploitation for Privilege Escalation(T1068): 既知CVEを用いて特権コンテキストへ移行します。
  • 持続化(Persistence)
    • Create Account: Local Account(T1136.001): 特権ユーザをローカルに作成します。
    • Server Software Component: Web Shell/Handler(T1505.003): HTTPハンドラやWebシェル相当のインプラントを注入します。
  • 防御回避(Defense Evasion)
    • Modify System Configuration(T1600相当の構成改変): AAA設定やHTTP設定の微修正で検知を回避します(仮説)。
  • 認証情報アクセス(Credential Access)
    • Credentials in Configuration(T1552.004): コンフィグ内の共有鍵/コミュニティ/古いシークレットを窃取します(仮説)。
  • 偵察・横展開(Discovery/Lateral Movement)
    • Remote Services(T1021.004 SSHなど): 境界機器から内側管理セグメントへ横展開します(仮説)。
  • 収集・窃取(Collection/Exfiltration)
    • Network Sniffing(T1040): 通過トラフィックのメタデータや平文プロトコルを観測します(仮説)。
    • Exfiltration Over Unencrypted/Alternate Channel(T1048/T1041): 管理用HTTPS/HTTPを偽装したC2で流出します(仮説)。
  • 影響(Impact)
    • Network Traffic Manipulation(T1565.002 データ改ざんの一形態): ACL/ルート/ポリシー改変で、特定通信の盗聴・遮断・誘導を行います(仮説)。

想定される影響は以下の通りです。

  • 境界機器の管理プレーン主導権の喪失により、全社ネットワークの“信頼の根”が揺らぎます。ゼロデイ起点でも、実害は「サイレントな監視」と「意図的な経路操作」に滲み出やすいです。
  • SOC視点では、EDR/IDSが設置されない機器からの横展開や、ネットワークポリシーの微改変による検知遅延が厄介です。
  • マルチサイトWAN/SD-WAN環境では、テンプレート配布を踏み台に一括改変されるリスクがあり、単一サイトの問題に留まりません。

セキュリティ担当者のアクション

“パッチ適用”で終わらせない、運用に落ちる手順を優先度順に提示します。

  1. 露出面の即時縮小(当日対応)
  • インターネット側でIOS XEのHTTP/HTTPS(Web UI)露出を遮断します。外部公開の必要があるケースでも、一時的に閉じて代替の運用回避策(OOB/管理VPN/踏み台)に切替えます。
  • 管理プレーン到達経路(ACL/CoPP/管理VRF)を再点検し、外部到達を原則禁止にします。
  1. パッチ&設定の是正(当日〜翌日)
  • IOS XEの該当機種・該当ブランチに対し、Ciscoが提供する修正済みリリースへ更新します(脆弱性CVE-2023-20198/20273の解消が前提)。
    参考: NVD(CVE-2023-20198): https://nvd.nist.gov/vuln/detail/CVE-2023-20198
  • Web UIは継続運用の必要性を再評価し、不要なら恒久的に無効化します(CLI/NETCONF/RESTCONFの限定公開+多要素認証への移行を検討します)。
  1. 侵害有無の迅速トリアージ(同時並行)
  • ローカル管理者の棚卸し: 既定外のusername/privilege 15アカウントを洗い出し、直近で追加・変更されたものを失効します。
  • HTTP/HTTPS設定差分: 過去バックアップとの差分で、未知のエイリアス/ハンドラ/認証バイパス設定がないか確認します。
  • ログ/セッションの異常: 異常な管理アクセス元、短時間に集中した設定変更、未知のUser-AgentでのWeb UIアクセスなどを確認します。
  • 既存の侵入兆候が疑われる場合、証跡保全(show tech / コンフィグバックアップ / コアファイル収集)を先行させます。
  1. 徹底排除(疑いありの場合)
  • 可能なら工場出荷状態への初期化→既知良イメージへの再プロビジョニング→コンフィグは監査済みスニペットのみ再適用、という“クリーンビルド”を実施します。インプラント亜種の存否が不明な場合、これが最も確実です。
  • AAA外部認証の再発行(TACACS+/RADIUSの共有鍵)、管理者パスワード/鍵の全更新、SNMPコミュニティ廃止/更新などのクレデンシャル衛生を同時実施します。
  1. 継続的モニタリングとハンティング(翌日以降の恒常運用)
  • ベースライン化: 重要機器の“良い状態”の設定、プロセス、開放ポート、管理到達経路を定義し、継続的差分監視を実装します。
  • ネットワーク越しの検知強化: 管理プレーン向けHTTPリクエストのログ化、異常なパス/ヘッダ/応答コードの相関、NetFlowでの機器発の外向きC2様通信の監視を導入します。
  • 露出設計の再構築:
    • 外部公開の管理はゼロにする、どうしても必要なら目的限定の踏み台+強制MFA+短命証明書+ソースIP制限にします。
    • 管理VRFやOOBネットの分離、CoPPでの管理プロトコル制御、RBAC/privilege分離を徹底します。
  1. CSIRT/SOC間の連携・演習
  • ルータ/スイッチ侵害を前提にしたインシデントシナリオ(“静かな持続化”と“経路操作”の2系統)で机上演習を行い、停止時間・切り戻し・再配備のRTO/RPOを現実化します。
  • サプライヤ/運用委託先を含めた責任分界と、構成差分の可視化ツール(IaC/テンプレート管理)の標準化を推進します。

参考リンク

  • NVD: CVE-2023-20198(Cisco IOS XE Software Web UI Privilege Escalation)
    https://nvd.nist.gov/vuln/detail/CVE-2023-20198
  • NVD: CVE-2023-20273(関連脆弱性)
    https://nvd.nist.gov/vuln/detail/CVE-2023-20273
  • CISA Known Exploited Vulnerabilities(KEV)
    https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • ASDの警告に関する報道(Malware News)
    https://malware.news/t/australian-signals-directorate-warns-of-ongoing-badcandy-cyberattacks-on-cisco-ios-xe-devices/100913

補足

  • BADCANDYの具体的な亜種ごとの挙動やIoCは変動が大きく、ここでは一般化して言及しています。新規の公式アドバイザリやリサーチ公開があれば、IoC/検知手順のアップデートを必ず取り込みます。
  • 本稿のMITRE ATT&CKマッピングは、ネットワーク機器を侵害起点とした一般化モデルに基づく仮説です。貴組織のアーキテクチャに合わせ、より詳細なプレイブック化を行うことを推奨します。

背景情報

  • i BADCANDYは、特定の脆弱性を利用してCisco IOS XEデバイスに侵入する攻撃手法です。攻撃者は、デバイスの管理機能を悪用し、情報を盗むことを目的としています。
  • i Ciscoは、これらの攻撃に対してパッチを提供しており、ユーザーは最新のセキュリティアップデートを適用することが重要です。
Packet News 一覧へ戻る