チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「Ciscoのファイアウォールはちゃんとパッチ当てたから安心だよね?」
「ファーム更新したのに、まだ侵入者が残ってるって本当に?」
チップスボス、ファイアウォールってネットワーク全体を守る装置ですよね?それが乗っ取られてるなんて怖すぎでしゅ……。
ボスふふふ、しかも厄介なのは、CISAが「パッチを当てても駆除できない」と明言している点だ。再起動でも消えん。物理的な電源断(ハードリセット)が必要なんだ。
2026年4月28日、CISAと英国NCSCがCisco ASA/Firepower/Secure Firewallを標的とする永続化バックドア「FIRESTARTER」のマルウェア分析レポートを公開しました。
本件は連邦機関のファイアウォールが実際に侵害されていた事例で、日本企業にも同型機器の利用が広がっています。
本記事では、攻撃の手口と組織が今すぐ取るべき対応を整理します。
「パッチを当てたから安心」という前提が崩れる事案です。
境界機器の運用ポリシーを再点検する契機として、本件をしっかり押さえましょう。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
本件は単なる脆弱性警告ではなく、実被害が確認された事案です。詳細を整理します。
CISAは米連邦機関のCisco ASAデバイスでFIRESTARTERバックドアを発見し、2025年9月初旬から2026年3月までC2通信が継続していたと報告しました。
本侵害は2024年に発覚した「ArcaneDoor」キャンペーンと同一の攻撃者によるものとCiscoが高い確度で判断しています。
影響範囲は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 対象機器 | Cisco ASA/Firepower/Secure Firewall |
| 悪用脆弱性 | CVE-2025-20333(認可不備)、CVE-2025-20362(バッファオーバーフロー) |
| マルウェア種別 | Linux ELF型C2バックドア |
| 初期侵入時期 | 2025年9月(米連邦機関の事例) |
チップス9月から3月って、半年もバレずに通信され続けてたんでしゅか!?
ボスそうだ。境界機器のログ監視は内部端末より手薄になりがちで、攻撃者はそこを突いてきた。
Cisco ASA/Firepowerは日本の中堅・大企業や官公庁で広く使われており、JPCERT/CCもCVE-2025-20333/20362への注意喚起を出しています。
同じAPTグループは戦略的標的を狙うため、日本企業も「次の標的になる可能性がある」と捉えるべきです。
FIRESTARTERが「パッチでは除去できない」と言われる理由を見ていきます。
FIRESTARTERはCisco Firepower/Secure Firewallで動作するLinux ELFファイルとして実装され、終了シグナルを検知すると自身を再起動する仕組みを持ちます。
ファームウェア更新や通常のリブートでも残存し、デバイスの電源を物理的に抜く「ハードリセット」を行うまで除去されません。
侵害後の挙動は以下のとおりです。
チップスもう、ファームを更新するだけじゃ全然足りないんでしゅね!物理的に電源抜くなんて、運用が大変でしゅ……!
ボスその通り。CISAは連邦機関に4月30日までのハードリセットを求めている。日本企業も他山の石とすべきだ。
境界機器の検査と運用見直しを並行して進めることが重要です。
レポートに沿った推奨対応は以下のとおりです。
FIRESTARTERは、ネットワーク境界機器が「侵害されてもパッチで戻らない」という前提を組織に突きつけます。
境界機器のログ監視、侵害判定、物理的なリセット手順までを運用に組み込むことが、これからの境界防衛の最低条件になります。
JPCERTやCISCOの最新情報を随時確認し、自社のCisco ASA/Firepower運用を見直してください。
チップス「パッチ当てたから大丈夫」って油断してたら、もうその先にいるかもしれないってことでしゅね!
ボスその認識でいい。攻撃者は常に一歩先を行く前提で、運用を組むことだ。
境界機器の運用やインシデントレスポンスで実力を磨きたい方は、ぜひセキュリティフリーランス案件への参画をご検討ください。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
