主なポイント

✓ Ciscoの製品を使用する企業顧客が、中国のハッカーグループによる攻撃の標的となっています。
✓ 影響を受けるシステムは、特定の条件を満たす場合に限られ、現在の攻撃はターゲットを絞ったものとされています。

社会的影響

! この攻撃キャンペーンは、企業のセキュリティに対する信頼を損なう可能性があります。
! 特に、重要な情報を扱う企業にとって、脆弱性の悪用は深刻な影響を及ぼす恐れがあります。

編集長の意見

このハッキングキャンペーンは、特に企業のセキュリティに対する脅威を浮き彫りにしています。Ciscoの製品は多くの企業で使用されており、その脆弱性が悪用されることで、顧客のデータが危険にさらされる可能性があります。特に、ゼロデイ脆弱性は、攻撃者にとって非常に魅力的なターゲットとなります。企業は、脆弱性が発見された際に迅速に対応するための体制を整える必要があります。また、Ciscoが推奨するように、影響を受けた機器を安全な状態に復元することは、攻撃者の持続的な侵入を排除するための重要なステップです。今後、企業はセキュリティ対策を強化し、脆弱性管理を徹底することが求められます。特に、インターネットに接続されるシステムに対しては、常に最新のパッチを適用し、脆弱性を最小限に抑える努力が必要です。さらに、企業はサイバー攻撃に対する意識を高め、従業員に対する教育を行うことも重要です。これにより、攻撃のリスクを軽減し、企業全体のセキュリティを向上させることができます。

解説

Ciscoメールゲートウェイのゼロデイ（CVE-2025-20393）を中国系攻撃者が標的悪用――いま最優先で遮断・復旧・監視を組み合わせるべきです

今日の深掘りポイント

ゼロデイ脆弱性（CVE-2025-20393）がCiscoのSecure Email GatewayやSecure Email and Web Managerで悪用され、被害候補は「数百社」規模に及ぶと報じられています。攻撃はインターネット露出と特定機能の有効化という前提を満たす環境で成立し、現状は標的的に実行されている様子です。
ベンダーパッチは未提供で、Ciscoは「安全な状態への復元」を推奨しています。単なる設定変更ではなく、既知健全イメージへのロールバックやクリーンリビルドを視野に入れるべきフェーズです。
検索サービス観測では、インターネットに公開されたCiscoメールゲートウェイの少なくとも220インスタンスが脆弱条件に該当するとの指摘があります。攻撃面が限定的でも、メール基盤という特性上、影響は業務と信頼の中枢に直結します。
情報の信頼性と緊急度は高く、現時点の最適解は「露出低減（隔離）→侵害有無の判定→安全状態への復元→継続監視」の直列実行です。ゼロデイ下の不確実性を前提に、検知の取りこぼしを補う運用設計が要点です。

参考: TechCrunchの報道（Cisco発表およびCensys観測に基づく二次情報です）

はじめに

Ciscoが公表したゼロデイ脆弱性（CVE-2025-20393）を、中国政府支援と見られる攻撃者が標的的に悪用していると報じられています。影響するのはCiscoのメールセキュリティ製品群で、インターネットに露出し、かつ特定機能が有効な条件を満たす機器です。パッチは未提供の段階で、Ciscoは影響インスタンスを「安全な状態に復元する」オペレーションを推奨しており、恒久対応が未確定の状況下での運用判断が企業側に求められています。

メールゲートウェイは認証・改ざん防止・コンテント検査・隔離など業務の背骨を担うため、侵害は機密情報の流出のみならず、業務停止、BEC（ビジネスメール詐欺）誘発、ブランド毀損に直結します。指標上の緊急性・成立確度・信頼性はいずれも高位で、ただちに露出削減と復旧計画を動かすべき局面です。

深掘り詳細

いま把握できる事実

脆弱性IDはCVE-2025-20393で、CiscoのSecure Email GatewayおよびSecure Email and Web Managerに存在します。悪用はインターネット露出と特定機能の有効化という前提条件下で成立し、現時点の攻撃は標的型の様相です。
ベンダーパッチは未提供で、Ciscoは「影響を受けた機器を安全な状態に復元」することを推奨しています。これは設定の一部無効化に留まらず、既知健全な状態へのロールバックや再構築を含意する対応です。
観測データとして、Censysは脆弱条件に合致するインターネット接続のCiscoメールゲートウェイが少なくとも220存在するとしています。露出規模は全体の一部に見えても、メール基盤という重要度の高さから、実務上のリスクは大きく評価すべきです。
影響を受ける顧客規模は「数百社」との推定が示されており、世界的に運用へ波及する可能性があります。
上記はいずれもTechCrunchの報道に基づく二次情報で、Cisco発表とCensys観測を引用しています。参考

編集部のインサイト

メールゲートウェイは「境界上のハイバリュー資産」です。侵入点としての価値に加え、メール本文・添付・ヘッダ情報、宛先/送信者メタデータ、隔離キューなど「組織のコミュニケーションそのもの」にアクセスできるため、攻撃者にとって侵害価値が高いです。偵察・横展開・BECの下準備に最適な足場になり得ます。
ゼロデイ下でパッチがない状況では、「設定での限定緩和」や「WAF的な軽減」だけでは持続的な侵害の除去保証が困難です。ベンダが復元を推奨する背景には、攻撃者が持続化やポリシー改変、非標準のアウトバウンド経路を仕込んだ場合の見逃しリスクがあります。健全性を担保できるのは、最小限の構成を残した安全状態への戻し（既知良好イメージやクリーンビルド）と、直後の厳格な監視です。
観測上は標的型ですが、露出資産が可視化された時点で「機会主義的な追随攻撃」が波及しやすい局面です。初動で露出を下げることは、実害だけでなく将来のマススキャン流用を抑止するコスト効果の高い投資になります。
指標からは緊急性・実行性・信頼性がいずれも高位で読み取れます。逆に「ポジティブさ」は低く、組織に痛みを伴う計画外メンテが避けられないサインです。CISOは通常運用のKPI達成よりも、ゼロデイ下の確実な「遮断→判定→復旧→監視」の直列完遂に軸足を移すべきタイミングです。

脅威シナリオと影響

以下は公開情報を踏まえた仮説シナリオで、MITRE ATT&CKに沿って整理します（仮説であり、無根拠な断定は避けています）。

シナリオA：初期侵入と持続化からの横展開
- 初期侵入: Exploit Public-Facing Application（T1190）によりゲートウェイへ侵入します。
- 持続化/防御回避: サーバコンポーネント改変やスクリプト設置（Server Software Component: Web Shell 相当、T1505.003）、デバッグ/ログ設定の改変（Impair Defenses, T1562）を行います。
- 資格情報・探索: 認証連携や管理認証情報の窃取（Credentials from Passwords/Storesの類型, T1552）と内部探索（Discovery, T1046/T1087）を実施し、メール基盤から内部ディレクトリ/管理ネットワークへ足掛かりを拡張します。
- C2/横移動: Web/HTTPS経由のC2（T1071.001）やツール転送（Ingress Tool Transfer, T1105）を行い、遠隔操作を継続します。
- 影響: 内部システムへの横展開に成功すると、ドメイン権限奪取や広範な情報窃取に至るリスクが高まります。
シナリオB：メールパイプラインの乗っ取りとBEC誘発
- 初期侵入: T1190でゲートウェイを掌握します。
- 収集: メールの収集（Email Collection, T1114）およびルーティング/ポリシー改変で一部トラフィックを迂回させます。
- 防御回避: スキャン/隔離ポリシー弱体化（T1562）により悪性メールの通過を容易にし、信頼関係を利用したBECやサプライチェーン攻撃の成功率を上げます。
- 影響: 取引先も巻き込む連鎖的被害、監査・規制対応コストの増大、ブランド毀損が想定されます。
シナリオC：認証連携の悪用と権限昇格
- 初期侵入: T1190での侵入後、ディレクトリ連携やSMTP認証などの接続情報を解析します。
- 資格情報アクセス: 保存済みシークレットの搾取（T1552）や正規アカウントの悪用（Valid Accounts, T1078）で管理プレーンや関連システムに再ログインします。
- 影響: 正規ログインを用いた偽装は検知回避を強め、長期潜伏と広範な情報アクセスにつながります。

全体としての影響

メール機密性の喪失（正文・添付・メタデータ）、受信/送信の改ざん、検知機能の無力化、BEC・詐欺の誘発、そして内部ネットワークへの踏み台化が主な影響軸です。ビジネス継続と対外信頼の両面で、短期運用打撃と長期的な信用コストをもたらします。

セキュリティ担当者のアクション

ゼロデイ下で確実性を重視した「遮断→判定→復旧→監視」を推奨します。現場実装しやすい粒度で優先度順に整理します。

資産特定と露出評価（最優先）

Cisco Secure Email Gateway / Secure Email and Web Managerの有無と、インターネット露出状況を即時棚卸します。管理プレーンへの外部到達やリバースプロキシ越しのアクセス可否を必ず確認します。
脆弱成立の前提となる「特定機能」の有効化状況を製品設定で確認します。不要であれば無効化を検討します（影響分析を伴います）。
外形監視（ASM/ASR）や検索サービスの自社タグ照合で、想定外の露出インスタンスがないかを洗い出します。

緊急の露出削減（遮断）

管理アクセスは社内/VPN限定の許可リストに絞り、インターネットからの直接到達を遮断します。メール転送（SMTP）に必須な経路のみを最小化して残します。
不要機能の停止、管理UI/APIの外部閉塞、管理IPのACL適用、踏み台経由の多要素認証化を直ちに行います。

侵害有無の一次判定（ハンティング）

直近数週間〜数か月の変更履歴（ポリシー、ルーティング、TLS証明書、管理ユーザ追加、認証方式の変更）を差分で精査します。
メッセージトラッキング/キュー/隔離の異常（予期せぬ迂回や大量の再配送、隔離ポリシーの弱体化）を確認します。
管理アクセスログの国・AS・時間帯の異常、連続失敗/成功のパターン、未知のクライアント識別子をSIEMでクエリします。
アプライアンス発の外向き通信先（新規FQDN/IP、非常時に使わないポート、長時間の持続通信）をNDR/フローで洗い出します。

復旧（Cisco推奨「安全な状態への復元」に沿う）

既知健全イメージへのロールバック、またはクリーンリビルド＋最小構成の再適用を実行します。未知の持続化を排除する目的で、設定のサニタイズ（不要オブジェクト・資格情報の再発行）を徹底します。
バックアップは侵害前時点のクリーン性を検証したうえで限定的に使用します。疑義が残るバックアップは用いないでください。

資格情報・信頼の再確立

管理アカウント、LDAP/AD連携のバインドアカウント、SMTP認証情報、APIトークン、管理用接続鍵、MTA用TLS証明書/鍵を段階的にローテーションします。依存系の再設定/相互認証影響を計画します。
DMARC/DKIM/SPFの整合性を再確認し、逸脱（意図せぬDKIMキー変更やSPF緩和）がないかを監査します。

監視の強化と継続

アプライアンスのSyslog/監査ログを完全収集し、SIEMに統合します。ルールは「管理UI/APIへの外部到達」「設定変更」「新規ユーザ/認証方式変更」「メッセージフローの急変」にアラートを設けます。
Egress監視を恒常化し、アプライアンスからの外向き通信先を許可リスト方式に切り替えます。
BEC連鎖阻止のため、取引先に対してもドメインなりすまし検知と認証強化の注意喚起を行います。

パッチ適用計画と検証

ベンダーから修正が出次第、検証環境での相性確認を経て短期（例：72時間以内）で本番適用できるようメンテナンスウィンドウとロールバック計画を確保します。
適用後は、設定差分と通信メトリクスの事後監査を行い、再侵害の兆候がないかを重点観察します。

体制・コミュニケーション

インシデント対応（IR）と法務・広報の連携体制を即時に立ち上げます。メールデータの性質上、個人情報・契約情報が含まれる場合が多いため、所管規制の通知要否判断を早期に行います。
ベンダーTAC/PSIRTへの連絡窓口を用意し、暫定対策・恒久対策のフォローアップを継続します。

本件は緊急性と信頼性が高い一方、攻撃は現時点で標的型の様相です。露出除去と安全復元を優先しつつ、検知の取りこぼしを補う「設定差分監査」「外向き通信制御」「メールフローの健全性モニタ」を三位一体で回すことが、運用上の最小被害化に資する現実解です。

参考情報

TechCrunch: Hundreds of Cisco customers are vulnerable to new Chinese hacking campaign, researchers say（2025-12-19）: https://techcrunch.com/2025/12/19/hundreds-of-cisco-customers-are-vulnerable-to-new-chinese-hacking-campaign-researchers-say/

背景情報

i CVE-2025-20393は、CiscoのSecure Email GatewayやSecure Email and Web Managerなどの製品に存在する脆弱性です。この脆弱性は、インターネットに接続され、特定の機能が有効になっている場合に悪用される可能性があります。
i この脆弱性はゼロデイと呼ばれ、Ciscoがパッチを提供する前に発見されたため、攻撃者はこの脆弱性を利用して顧客を狙っています。

メトリクス