Ciscoの複数製品に深刻な脆弱性 CISAが緊急対応を要請：セキュリティニュースアラート

CISAは、Cisco ASAおよびFirepower製品に存在するゼロデイ脆弱性への対応として緊急指令ED 25-03を発出した。連邦機関に対し即時対応と報告を義務付け、民間含む全組織にも注意喚起している。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年9月25日（現地時間、以下同）、Cisco製ネットワーク機器に関する深刻な脆弱（ぜいじゃく）性への対応を目的とした緊急指令「ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices」を発出した。

　対象となるのは「Cisco Adaptive Security Appliances」（Cisco ASA）および「Cisco Firepower」であり、連邦政府機関に対し即時の特定や分析、軽減措置を実行するよう命じている。

民間含む全組織に呼びかけ　Cisco製品の脆弱性対応の徹底を

　CISAは、CVE-2025-20333（リモートコード実行の脆弱性）およびCVE-2025-20362（権限昇格の脆弱性）の2件を「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に追加した。これらは連邦政府の情報システムに対しリスクをもたらすと評価されており、迅速な対応が義務付けられている。

　CISAによると、高度な脅威活動グループがCisco ASAを標的とする広範な攻撃キャンペーンを展開しており、ゼロデイ脆弱性を利用して認証不要のリモートコード実行によって、ROMを改変することで再起動やシステムアップグレード後も不正状態を維持する事例が確認されている。Ciscoはこの活動が2024年初頭に報告されているArcaneDoorキャンペーンと関連しているとみている。Firepower製品においても同様の脆弱性が確認されているが、Secure Boot機能によってROM改変の検知が可能とされている。

　ED 25-03の具体的な要求事項として、各機関はまず全てのCisco ASAおよびFirepower機器の稼働状況を把握することが義務付けられる。公開インターネットに接続しているASA機器については、CISAが提供する「Core Dump and Hunt Instructions」に従い、メモリダンプを収集し、2025年9月26日までにCISAへ提出しなければならない。解析結果による侵害を確認した場合には該当機器を速やかにネットワークから隔離し、CISAと協力して対応することが求められる。

　サポート終了日が2025年9月30日以前のASA機器は、期日までに恒久的にネットワークから切り離す必要がある。サポート終了日が2026年8月31日までのモデルについては、最新のCisco提供アップデートを即時適用し、以降リリースされるアップデートも48時間以内に適用する義務が課される。ASAvやFirepower Threat Defense（FTD）についても同様に、最新アップデートを2025年9月26日までに適用することが定められている。

　これに加え、全ての機関は2025年10月2日までに、CISA指定のテンプレートを使って、対象機器の全インベントリと対応状況を報告することが求められる。対象となるのは機関自身のシステムに加え、第三者環境にホストされている情報システムも含まれる。FedRAMP認定クラウドサービスについてはFedRAMP事務局を通じて状況を確認し、非認定サービスについては提供事業者と直接調整して順守を確保しなければならない。

　この緊急指令は連邦機関を対象としているが、CISAは民間を含む全ての組織にも内容を精査し、該当の脆弱性への対策を取るよう強く呼びかけている。特にゼロデイ脆弱性が実際に悪用されている状況下において、対策を怠った場合に重大な被害が及ぶ危険性がある。CISAは公開情報として手順やリソースを提供しており、連邦機関以外の組織も同様にメモリダンプの収集や提出を実施できる。

　今回のED 25-03は、Cisco機器の利用環境に広く影響する深刻なセキュリティ課題に対応しており、影響を受ける機関・企業もこのガイダンスを参考に対処することが望まれる。