主なポイント

✓ Cisco ASAファイアウォールに対する新たな攻撃が確認されました。この攻撃は、特定の脆弱性を利用しており、企業のネットワークに深刻な影響を及ぼす可能性があります。
✓ 攻撃者は、ファイアウォールの設定を変更し、ネットワークへの不正アクセスを試みています。これにより、機密情報の漏洩やシステムの侵害が懸念されています。

社会的影響

! この攻撃により、企業の機密情報が漏洩するリスクが高まります。これにより、顧客の信頼が損なわれる可能性があります。
! また、企業が攻撃を受けた場合、法的な責任や経済的損失が発生することも考えられます。

編集長の意見

Cisco ASAファイアウォールに対する新たな攻撃波は、企業にとって非常に深刻な問題です。ファイアウォールは、企業のネットワークを保護するための重要な要素であり、その脆弱性が悪用されることで、企業の機密情報が危険にさらされる可能性があります。特に、攻撃者がファイアウォールの設定を変更することで、ネットワークへの不正アクセスが可能になるため、企業は迅速に対策を講じる必要があります。今後、企業はこの脆弱性に対する理解を深め、適切なセキュリティ対策を実施することが求められます。また、定期的なセキュリティ監査や脆弱性診断を行うことで、攻撃のリスクを低減することができます。さらに、従業員に対するセキュリティ教育を強化し、攻撃の兆候を早期に発見できる体制を整えることも重要です。企業は、セキュリティ対策を怠ることなく、常に最新の情報を把握し、適切な対策を講じることが求められます。

解説

Cisco ASAへの攻撃波が再燃──境界機器を起点とする「設定改ざん→横展開」の現実に備えるべきです

今日の深掘りポイント

攻撃者はCisco ASAの新たな脆弱性を起点に、ファイアウォール設定の改ざんで権限拡大と横展開の足場を獲得している可能性が高いです。パッチ適用だけでなく「設定鑑識」と「管理プレーンの隔離」が同じくらい重要です。
報道では、ASA/FTDの複数脆弱性（例：CVE-2025-20333/20362）が5月以降継続的に悪用されているとされ、外周機器を狙う作戦が常態化している文脈と合致します。即応性・実務対応性が高い事案です。
一部調査で約3割が未対策という指摘がある以上、露出機器の棚卸しと緊急是正（管理インターフェース閉塞、最小権限、分割ルーティング、設定の完全性確認）を優先順位高で進めるべきです。
新規性は中程度でも、攻撃の成立確度と信頼性は高く、かつ影響は甚大になり得ます。特に政府・重要インフラでの普及度を考えると、地政学的緊張下での作戦行動の踏み台として成立しやすいです。
現場への示唆は「パッチ適用＝終わり」ではない点です。ASAは“ポリシーが資産”です。アプライアンスの健全性より、動作ポリシー（ACL/NAT/VPN/AAA/ログ設定）の完全性を継続的に検証する運用設計が決定打になります。

はじめに

Cisco ASAファイアウォールに対する新たな攻撃波が観測され、特定の脆弱性を足掛かりに設定を改ざんし、不正アクセスやデータ流出につなげる動きが報告されています。境界機器は「外部に晒された高権限・高トラストのネットワークOS」という性格上、ひとたび突破されると、境界での検知を避けた持続化、意図しない経路開放、認証基盤の迂回など、多段階の効果を短時間で実現されやすいです。

本稿では、現時点で公表されている情報を前提に、企業ネットワークの“実運用”に根差した論点を整理し、脅威シナリオをMITRE ATT&CKに沿って再構成したうえで、優先度の高いアクションに落とし込みます。

深掘り詳細

事実（報道・公知情報から読み取れること）

Cisco ASAに対する新たな攻撃波が発見され、特定の脆弱性悪用が起点になっていると報じられています。攻撃者はファイアウォール設定を変更し、不正アクセスを試みる手口が確認されています。これにより機密情報の漏洩やシステム侵害リスクが懸念されています。
一部の調査では、対象脆弱性への対策未実施が企業利用者の約3割にのぼるとされ、攻撃の成立確度を押し上げる状況が示唆されています。
脆弱性の継続的悪用は2025年5月以降にかけて継続しているとの指摘があり、境界機器に対する作戦行動の常態化を裏付ける流れと一致します。
重要インフラや政府系の導入比率が高いことは、地政学的文脈での作戦遂行における“先行足場”としてASA/FTDが選好される可能性を高めます。

出典（一次ではないが報道の起点）: Another Cisco ASA firewall attack wave uncovered – malware.news

※上記以外の詳細（具体的なエクスプロイト連鎖、修正済みバージョンの特定など）は現時点の公表情報に依存するため、本稿では推測を交えずに一般化した対策論と鑑識観点に焦点を当てます。

インサイト（Packet Pilotの視点）

攻撃者の狙いは「境界OSとしてのASAの権限」を奪い、ネットワーク・ポリシーを任意に再配線することにあります。これはマルウェア設置や横展開の前段で、検知回避と持続化（Persistence/Defense Evasion/Discovery）を一体で実現できる点が本質です。
パッチ適用は必須ですが、設定改ざんが既に行われていれば、アップグレード後も“攻撃者に都合の良い経路・権限”が残存します。従って「設定の完全性・差分検証」「AAAと管理プレーンの隔離」「ログの外部出力による行為証跡の保全」が同時着手の三点セットになります。
新規性は中程度でも、境界機器に対する攻撃は「即効性」「運用への適用容易性」が高いのが実際です。攻撃側のコストに対する効果（特権・可視性・横展開の容易さ）が非常に高く、継続的な悪用が成立しやすい地合いにあります。
現場への示唆は「ネットワーク機器にはEDRは載らない」前提で“運用監査の成熟度”がセキュリティ実効性を決めるという点です。具体的には、設定バックアップの世代管理と差分検出、管理アクセスの強制多要素化、管理インターフェースの物理/論理分離、Syslog/NetFlowの外部保全が効きます。

脅威シナリオと影響

以下は提供情報と一般的なTTPに基づく仮説シナリオです。MITRE ATT&CKはEnterpriseをベースに対応付けています。

シナリオ1: 公開管理/ポータル経由の侵入→設定改ざん→横展開
- 初期侵入: Exploit Public-Facing Application（T1190, 仮説）
- 権限取得・持続化: Valid Accounts（T1078, ローカル管理者やAAA連携の乗っ取り/作成, 仮説）、Account Manipulation（T1098, 仮説）
- 防御回避: Impair Defenses（T1562, ログ抑止や管理アクセス制御の緩和, 仮説）
- 発見/偵察: Network Service Discovery（T1046, 仮説）
- 横展開: Remote Services（T1021）/External Remote Services（T1133, VPNやSSHの悪用, 仮説）
- C2/データ移送: Web Protocols（T1071.001, HTTPSベースのC2やツール転送, 仮説）
シナリオ2: VPNポータル/グループポリシーを悪用した認証迂回と内向きゲートの確立
- 初期侵入: Exploit Public-Facing Application（T1190, 仮説）
- 持続化: Modify Authentication Process（T1556, 認証連携設定の改変, 仮説）、Create/Modify Accounts（T1136/T1098, 仮説）
- 横展開: Exposed VPN経由の正規チャネルで内部資源に到達（T1133, 仮説）
シナリオ3: NAT/ACL/ポリシーの微改変による“静かな迂回路”の構築
- 防御回避: Modify System Configuration（T1112 相当の構成改変, 仮説）/Impair Defenses（T1562, 仮説）
- 収集・抜け道: Proxy/Port Forwarding（T1090, 仮説）、Exfiltration Over C2 Channel（T1041, 仮説）
- 影響: 段階的に拡張される許可経路が既存の監視境界をバイパスし、内部の資産群が網羅的に露出するリスクが高まります。

想定インパクト:

機密情報の漏洩、アカウント乗っ取り、ネットワーク・セグメンテーションの実質的崩壊、監査証跡の欠落による事後対応コストの増大が見込まれます。
政府・重要インフラでは、オペレーションの遅延や安全性リスクに直結するため、単一事象でも事業継続に影響するレベルの結果を招きやすいです。

セキュリティ担当者のアクション

優先度順に“いま”動けることへ落とします。パッチ適用は当然の前提として、設定健全性と管理プレーンの防御を同時に進めます。

直近48時間の即応タスク
- 露出の棚卸し: 外部から到達可能なASAの管理面（HTTPS/ASDM/SSH/VPNポータル）の全リスト化と到達テストを実施します。外部到達が不要な面は即時閉塞/ACLで制限します。
- ベンダー推奨対策の即時適用: 当該脆弱性（例：CVE-2025-20333/20362）に関するベンダー告知に沿い、修正済みリリースへのアップデートを最優先で実施します。変更管理は“緊急修正”プロセスに乗せます。
- ログの保全: Syslog/NetFlow/認証ログを外部のSIEMに確実に転送し、最低30日以上の保持を担保します。直近の管理ログイン、設定コマンド実行、VPNポータル設定変更の有無を確認します。
侵害有無のクイックチェック（設定鑑識の観点）
- 設定差分: 最新バックアップと現行の差分を取り、以下に着目します。未知のローカルユーザ追加、AAA/認証連携の変更、HTTP/SSH/ASDMの有効化面や許可リストの拡大、webvpn/AnyConnect関連のポータル/グループポリシー追加、ACL/NAT/オブジェクトの微細な緩和、ログ出力/レベル/宛先の抑止。
- 証明書/信頼点検: 新規の信頼点（CAトラストポイント）や未知のサーバ証明書/キーの導入有無を確認します。
- 永続化の兆候: 再起動後に戻らない設定（ブート行、外部スクリプト/コンテンツの読み込み）や、不審ファイルの存在（アプライアンスのローカルストレージ）に注意します。
管理プレーンの強化
- 隔離: 管理インターフェースは専用管理ネットワークに限定し、外部/ユーザセグメントからの到達を物理/論理両面で遮断します。
- 認証: TACACS+/RADIUSで強制MFA、ローカルアカウントは原則禁止。特権操作はコマンド監査を必須化します。
- 露出最小化: 不要なサービス（HTTP/ASDM/旧VPNポータル）を停止し、TLS/暗号スイートを最新の強度に統一します。
継続的運用（プロセス整備）
- 構成のゴールデン化: ASA設定のゴールデンコピー管理と自動差分監視をCI/CD的に組み込みます。差分検出はアラート化し、変化の審査履歴を残します。
- 可観測性の底上げ: ネットワーク境界のログは“アプリケーション同等”に重視します。管理ログイン、設定変更、VPNセッション、ドロップ/許可の変化をユースケースとして可視化します。
- 凍結期間の見直し: 年末年始などの変更凍結をゼロトラスト的に再設計し、境界機器の緊急修正は凍結例外とするガバナンス整備を進めます。
インシデント発生時の初動準備
- 証跡テンプレート: 収集すべき証跡（設定、ログ、証明書、ユーザ・AAA情報、ストレージ一覧）のテンプレート化と自動取得手順の整備を行います。
- 代替経路: フェイルセーフとして、ASAが不正動作しても重要システムへの経路が開かないよう、ルーティング/セグメントのバックアップ設計を見直します。

メトリクスの示すとおり、緊急性と実務的な着手点が明確なインシデント特性です。一方で新規性は中程度で、既存の運用強化（管理面の隔離、設定の完全性監査、観測の強化）だけで有意にリスクを下げられます。CISOの意思決定としては、“パッチだけでは不十分”を前提に、設定と運用のガバナンスを同じ優先度でドライブすることがポイントです。

参考情報

報道（アグリゲータ）: Another Cisco ASA firewall attack wave uncovered – malware.news

※本稿の分析は提供情報と一般的なTTPに基づくもので、具体的なCVEの技術詳細や修正済みバージョン情報は、ベンダーの最新アドバイザリに必ず当たって確認することを強く推奨します。各組織は自環境の露出状況とログ保全状態に応じ、上記アクションの順序を調整してください。

背景情報

i Cisco ASAファイアウォールは、企業のネットワークを保護するために広く使用されています。しかし、特定の脆弱性が存在し、攻撃者がこれを悪用することで、ファイアウォールの設定を変更し、ネットワークへの不正アクセスが可能になります。
i この攻撃は、特に企業の機密情報を狙ったものであり、攻撃者は高度な手法を用いています。これにより、企業は重大なセキュリティリスクに直面しています。