チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Ciscoのファイアウォールはちゃんとパッチ当てたから安心だよね?」
「ファーム更新したのに、まだ侵入者が残ってるって本当に?」
チップスボス、ファイアウォールってネットワーク全体を守る装置ですよね?それが乗っ取られてるなんて怖すぎでしゅ……。
ボスふふふ、しかも厄介なのは、CISAが「パッチを当てても駆除できない」と明言している点だ。再起動でも消えん。物理的な電源断(ハードリセット)が必要なんだ。
2026年4月28日、CISAと英国NCSCがCisco ASA/Firepower/Secure Firewallを標的とする永続化バックドア「FIRESTARTER」のマルウェア分析レポートを公開しました。
本件は連邦機関のファイアウォールが実際に侵害されていた事例で、日本企業にも同型機器の利用が広がっています。
本記事では、攻撃の手口と組織が今すぐ取るべき対応を整理します。
「パッチを当てたから安心」という前提が崩れる事案です。
境界機器の運用ポリシーを再点検する契機として、本件をしっかり押さえましょう。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
本件は単なる脆弱性警告ではなく、実被害が確認された事案です。詳細を整理します。
CISAは米連邦機関のCisco ASAデバイスでFIRESTARTERバックドアを発見し、2025年9月初旬から2026年3月までC2通信が継続していたと報告しました。
本侵害は2024年に発覚した「ArcaneDoor」キャンペーンと同一の攻撃者によるものとCiscoが高い確度で判断しています。
影響範囲は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 対象機器 | Cisco ASA/Firepower/Secure Firewall |
| 悪用脆弱性 | CVE-2025-20333(認可不備)、CVE-2025-20362(バッファオーバーフロー) |
| マルウェア種別 | Linux ELF型C2バックドア |
| 初期侵入時期 | 2025年9月(米連邦機関の事例) |
チップス9月から3月って、半年もバレずに通信され続けてたんでしゅか!?
ボスそうだ。境界機器のログ監視は内部端末より手薄になりがちで、攻撃者はそこを突いてきた。
Cisco ASA/Firepowerは日本の中堅・大企業や官公庁で広く使われており、JPCERT/CCもCVE-2025-20333/20362への注意喚起を出しています。
同じAPTグループは戦略的標的を狙うため、日本企業も「次の標的になる可能性がある」と捉えるべきです。
FIRESTARTERが「パッチでは除去できない」と言われる理由を見ていきます。
FIRESTARTERはCisco Firepower/Secure Firewallで動作するLinux ELFファイルとして実装され、終了シグナルを検知すると自身を再起動する仕組みを持ちます。
ファームウェア更新や通常のリブートでも残存し、デバイスの電源を物理的に抜く「ハードリセット」を行うまで除去されません。
侵害後の挙動は以下のとおりです。
チップスもう、ファームを更新するだけじゃ全然足りないんでしゅね!物理的に電源抜くなんて、運用が大変でしゅ……!
ボスその通り。CISAは連邦機関に4月30日までのハードリセットを求めている。日本企業も他山の石とすべきだ。
境界機器の検査と運用見直しを並行して進めることが重要です。
レポートに沿った推奨対応は以下のとおりです。
FIRESTARTERは、ネットワーク境界機器が「侵害されてもパッチで戻らない」という前提を組織に突きつけます。
境界機器のログ監視、侵害判定、物理的なリセット手順までを運用に組み込むことが、これからの境界防衛の最低条件になります。
JPCERTやCISCOの最新情報を随時確認し、自社のCisco ASA/Firepower運用を見直してください。
チップス「パッチ当てたから大丈夫」って油断してたら、もうその先にいるかもしれないってことでしゅね!
ボスその認識でいい。攻撃者は常に一歩先を行く前提で、運用を組むことだ。
境界機器の運用やインシデントレスポンスで実力を磨きたい方は、ぜひセキュリティフリーランス案件への参画をご検討ください。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
