主なポイント

✓ Ciscoは、CVE-2025-20333およびCVE-2025-20362を悪用した新たな攻撃手法を警告しています。
✓ これらの脆弱性は、未パッチのデバイスに対してサービス拒否（DoS）を引き起こす可能性があります。

社会的影響

! この攻撃は、企業のネットワークセキュリティに深刻な影響を及ぼす可能性があります。
! 未パッチのデバイスが攻撃されることで、サービスの中断やデータ漏洩のリスクが高まります。

編集長の意見

今回のCiscoの警告は、企業が直面するサイバーセキュリティの脅威の深刻さを再認識させるものです。特に、CVE-2025-20333およびCVE-2025-20362のような脆弱性は、攻撃者にとって非常に魅力的なターゲットとなります。これらの脆弱性を悪用することで、攻撃者は企業のネットワークに侵入し、重要なデータを盗むことが可能になります。さらに、これらの脆弱性は、未パッチのデバイスに対してサービス拒否攻撃を引き起こすことができるため、企業の業務運営にも大きな影響を与えるでしょう。企業は、これらの脆弱性に対するパッチを適用することが急務です。特に、セキュリティパッチの適用を怠ると、攻撃者に対して脆弱な状態をさらけ出すことになります。今後の課題としては、企業がどのようにして迅速に脆弱性を特定し、対応するかが重要です。また、セキュリティ教育を通じて、従業員がサイバーセキュリティの重要性を理解し、適切な行動を取ることが求められます。企業は、定期的なセキュリティ監査や脆弱性スキャンを実施し、常に最新のセキュリティ対策を講じる必要があります。これにより、サイバー攻撃のリスクを低減し、企業の情報資産を守ることができるでしょう。

解説

Cisco ASA/FTDを狙うCVE-2025-20333/20362の実攻撃が拡大、未パッチ機器の再起動と業務停止リスクが顕在化です

今日の深掘りポイント

境界ファイアウォール（ASA/FTD）に対する新手の攻撃バリアントが観測され、未パッチ機器の予期せぬ再起動＝可用性喪失を引き起こしている点が最大の実害です。
公開から時間が経たないゼロデイ相当の悪用が進行し、DoSの域に留まらず、条件次第で初期侵入や横展開の起点になり得る複合リスクです。
フェイルオーバ構成でも再起動連鎖やスループット劣化が生じ、拠点WANやVPN事業継続の足元をすくう典型的な「境界単一点障害」問題です。
緊急対応は「外向け管理面の遮断」「アップグレード適用」「再起動検知の即時監視」に絞って時間優先で進めるのが現実的です。
MITRE ATT&CK上は、Exploit Public-Facing ApplicationとSystem Shutdown/RebootなどのImpact技法が中核で、攻撃連鎖の初動と最終効果の双方を想定した監視が必要です。

はじめに

CiscoのSecure Firewall ASA/FTDに関する2件の脆弱性（CVE-2025-20333、CVE-2025-20362）を突いた新しい攻撃手法が観測され、未パッチ機器が予期せず再起動し、サービス拒否（DoS）状態に陥る事象が報告されています。これらは2025年9月に公開されたのち、ゼロデイ的に悪用が先行し、実環境での被害に結びついている点が特徴です。Ciscoは速やかなアップデート適用を促しています。

本稿では、現時点で公開されている外部情報を基に、CISOやSOCマネージャ、Threat Intel担当者の意思決定に必要な「何が起きているのか」「何を優先するか」を整理します。一次情報としてのベンダーアドバイザリ確認が現場運用の大前提ですが、速報段階では、可用性への即時影響と外部からの攻撃面の遮断が最重要の打ち手になります。

なお、以下の事実関係は公開報道に依存しており、詳細仕様や影響バージョンの確定には公式アドバイザリの精査が不可欠です。

深掘り詳細

事実整理（公開情報に基づく）

Cisco Secure Firewall ASA/FTDに関するCVE-2025-20333およびCVE-2025-20362を悪用した新たな攻撃バリアントが観測されています。未パッチ機器が意図せず再起動し、DoS状態に陥る可能性が報告されています。The Hacker Newsの報道は、両CVEの悪用が既に確認され、マルウェア配布の足場としても使われていると伝えています。
報道は、これらの脆弱性が2025年9月に公開され、その後ゼロデイ的に現場で悪用が確認されたと述べています。Ciscoは速やかなアップデート適用をユーザーに求めています。出典: The Hacker News

（注）影響を受ける具体的なバージョン、CVSS、暫定緩和（workaround）の有無などの技術詳細は、公式アドバイザリの確認が必須です。本稿執筆時点では公開報道に依存しており、一次情報の差分が出る可能性があるため、現場では必ずCisco PSIRTの正式文書で裏取りしてください。

インサイトと示唆（編集部の考察）

可用性の直接打撃が先行するタイプのファイアウォール攻撃は、情報窃取型よりも業務継続に直結するリスクが高いです。特に拠点VPN、SaaS到達、ゼロトラストGWなどの中核にASA/FTDを置く環境では、単一機器の再起動で広域に影響が波及します。
フェイルオーバ（二台冗長、クラスタ）の場合でも、片系再起動→セッションドロップ→復帰時のセッション再学習遅延→もう片系への負荷集中といった「小さな止まり方の連鎖」が発生しやすいです。DoSが意図的に連続投下されると、平時設計では想定しない揺さぶりになります。
侵入観点では、DoSに目を奪われがちですが、脆弱性の少なくとも一部がリモートのコード実行や認証迂回に絡むならば、初期アクセスの成立や情報露出の副作用を同時に評価すべきです。DoSと侵入の「二刀流」設計は境界機器攻撃で繰り返し観測されるパターンです。
ゼロデイ悪用の初動から迅速に「外向け管理プレーン」を消しておく運用（外向けHTTP(S)管理停止、必要最小のACLで絞る、管理は内向き/OOB限定）は、どの境界機器でも効く再発防止策です。ベンダーの暫定緩和公開前でも実施可能な定石です。
検知は「侵入を捉える」前に「再起動を捉える」方向へ寄せるのが現実的です。再起動検知のシグナル（syslog、SNMPトラップ、クラスタイベント、クラッシュダンプ生成）の監視SLOを短くし、ビジネス側への影響告知を自動化することで二次被害を抑制できます。
事業継続面では、SaaSやクラウドへの代替経路（ブレイクアウトやバックアップ回線）を事前に用意し、ASA/FTD再起動時のフォールバック経路が自動で活きるようにしておくと復旧体感が大きく改善します。

脅威シナリオと影響

以下は公開情報と一般的な攻撃連鎖に基づく仮説です。確定情報は公式アドバイザリをご確認ください。

シナリオA: 外部公開インターフェースへの細工リクエストによる即時DoS
- 仮説: 特定のHTTP/HTTPSリクエストでプロセスがクラッシュし、装置がリロードします。冗長構成でもセッション消失により短時間の業務停止が発生します。
- ATT&CK対照: TA0001 Initial Access → T1190 Exploit Public-Facing Application、TA0040 Impact → T1529 System Shutdown/Reboot、T1498 Network Denial of Service です。
シナリオB: 事前認証の不備を足掛かりとした情報露出と設定窃取
- 仮説: 制限URLへの不正アクセスで構成や証明書、トークン片が漏洩し、後続の横展開やフィッティング攻撃に利用されます。
- ATT&CK対照: TA0006 Credential Access → T1552 Unsecured Credentials、TA0010 Exfiltration → T1041 Exfiltration Over C2 Channel（派生）です。
シナリオC: RCEチェーンを用いた境界装置の踏み台化
- 仮説: リモートコード実行で装置上に軽量ペイロードを展開し、プロキシ／C2リレーとして内外通信の経路確保、あるいは内部スキャンを実行します。
- ATT&CK対照: TA0002 Execution → T1059 Command and Scripting Interpreter、TA0011 Command and Control → T1071 Application Layer Protocol、TA0008 Lateral Movement → T1021 Remote Services です。
事業・社会的影響
- エッジ機器の同時多発的な再起動は、コールセンターや決済、物流のカットオーバ時間帯に顕著な損害を生みます。
- 地政学的緊張時には、拠点拡散型の可用性撹乱として国家支援アクターが選好するシナリオになり得ます（一般論の仮説です）。

セキュリティ担当者のアクション

優先度順に「時間で買える可用性確保」と「確実な修正適用」を進めます。

影響資産の即時棚卸（当日）

どの拠点・データセンターにASA/FTDがあるか、冗長構成の有無、外向け管理面（HTTP/HTTPS）が露出していないかを最短で可視化します。
FMC（Firepower Management Center）やログ集約で、過去72時間の再起動、クラッシュ、クラスタフェイルオーバイベントを洗い出します。

パッチ適用計画の即時策定（48–72時間以内の適用を目標）

Cisco公式アドバイザリで修正済みリリースを確認し、メンテナンスウィンドウを前倒しで確保します。
クラスタ／HAはローリングアップグレード計画を用意し、セッション影響を最小化します。事前にコンフィグバックアップとリカバリ手順を確認します。

暫定緩和（workaround）が未提示でもできる「基本手当」（即日）

外向け管理プレーンの遮断: OutsideからのHTTP/HTTPS/SSH管理を禁止し、OOBまたは内向き限定にします。必要最小のソースIP許可リストを適用します。
外部公開の不要機能を停止: 使っていないリモートアクセス/VPNポータル、古いWeb機能を無効化します。
レート制御と地理フィルタ: 攻撃ピークの軽減を狙い、外向けインターフェースへレート制限やGeo-IPブロックを適用します（可用性優先の一時措置として）。

監視と検知の強化（当日〜翌日）

直近の再起動検知SLOを短縮します（SNMPトラップ/ syslogの「reload理由」「クラッシュダンプ生成」「フェイルオーバ発生」などを即時アラート化します）。
HTTP(S)に対する異常リクエスト急増、特定URIへの集中的アクセス、国別の分布変化をダッシュボード化します。
侵入の可能性を念頭に、設定差分監視（証明書・ローカルユーザ・ACL変更）、不審プロセス/接続（可能な範囲でのヘルス診断）を並行します。

事業継続のフォールバック準備（48時間以内）

代替経路（バックアップ回線、クラウドゲートウェイ）への自動フォールバックを検証し、切替手順を運用に周知します。
重要時間帯（決済締め、バッチ、出荷）に合わせた変更凍結や監視強化の暫定運用を入れます。

コミュニケーションと緊急手順

予期せぬ再起動発生時の「初動10分」の動作手順（影響周知、切替、ログ保全、エスカレーション）をあらためて整備します。
公式アドバイザリの更新監視を自動化し、差分（対象バージョン追加、緩和策更新、IOC公開）をSecOpsへ自動通知します。

中期の恒久対策

外向け管理面の恒久的排除（OOB/内向き限定）、ゼロトラスト型の運用（管理面とデータ面のネットワーク分離）を標準化します。
「境界単一点障害」をなくすため、重要拠点へのデュアルベンダ化や、クラウド型エッジ/SD-WANのFail-to-Internet設計を検討します。

参考情報

The Hacker News: Cisco Warns of New Firewall Attack Targeting ASA and FTD Devices Exploiting CVE-2025-20333 and CVE-2025-20362（2025-11-06） https://thehackernews.com/2025/11/cisco-warns-of-new-firewall-attack.html

注記

本稿の事実関係は上記公開報道に基づくもので、影響バージョン、CVSS、緩和策の有無などはCisco公式アドバイザリの精査が必要です。一次情報の確認と、環境固有のリスク評価を優先してください。メトリクス的には速報性と即応性が非常に高い案件であり、まずは可用性の確保とパッチ適用を最短で回す運用が肝要です。

背景情報

i CVE-2025-20333は、攻撃者が特定のHTTPリクエストを使用してルート権限で任意のコードを実行できる脆弱性です。CVE-2025-20362は、認証なしで制限されたURLにアクセスできる脆弱性です。これらの脆弱性は、Ciscoのファイアウォール製品に影響を及ぼします。
i これらの脆弱性は、すでにゼロデイ攻撃として悪用されており、特にRayInitiatorやLINE VIPERといったマルウェアの配布に利用されています。Ciscoは、これらの脆弱性に対するパッチを提供しており、ユーザーに対して速やかな対応を促しています。

メトリクス