米サイバーセキュリティ・インフラセキュリティ庁(CISA)は現地時間2025年9月25日、Emergency Directive 25-03(ED 25-03)を公表し、Cisco ASAおよび一部Firepower製品に対する継続的な攻撃キャンペーンへの即時対応を米連邦機関に命じました。
攻撃は未修正のゼロデイ脆弱性を突いて未認証RCEを達成し、ROM改ざんで再起動やアップグレード後も持続化する高度な手口が確認されています。CISAはこの活動が2024年初頭のArcaneDoor事案と関連すると見ています。
対象機器
-
Cisco ASAプラットフォーム(ハードウェア、ASA-SM、ASAv、Firepower 2100/4100/9300上のASAファームウェア)
-
Cisco Firepower Threat Defense(FTD)
対象脆弱性
-
CVE-2025-20333:リモートコード実行
-
CVE-2025-20362:権限昇格
ArcaneDoorとは
2024年4月、Ciscoは、ASAおよびFTDソフトウェアにおいて、国家支援型の脅威アクターによる「ArcaneDoor」と呼ばれるスパイ活動キャンペーンで悪用された当時、以下2つのゼロデイ脆弱性を公表しました。
- CVE-2024-20353:Webサービスにおけるサービス拒否(DoS)の脆弱性で、リモートコード実行の可能性があります。
-
CVE-2024-20359:永続的なローカルコード実行の脆弱性で、攻撃者がシステム上で持続的なアクセスを確保することが可能です。
これらの脆弱性は、攻撃者がカスタムバックドア(「Line Runner」および「Line Dancer」)を展開し、構成の変更、ネットワークトラフィックの監視、データの流出、さらには横方向の移動を可能にするために悪用されました。
関連:2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査
CISAが米政府機関へ勧告した必須対応(主要期限つき)
-
全台帳化
すべてのASA/Firepower機器を特定・棚卸(対象は自機関運用に限らず、受託運用・クラウド上の機器も含みます)。 -
パブリック向けASAの“コアダンプ&ハント”
CISA提供手順(Core Dump and Hunt Instructions Part 1–3)に従い9/26 23:59(EDT)までにコアダンプを取得し、Malware Next Genポータルへ提出します。-
“Compromise Detected”:即時にネットワークから隔離(電源断は不可)し、CISAへ報告・駆除対応を実施します。
-
“No Compromise Detected”:次のアップデート/廃止措置へ進みます。
-
-
EoS(サポート終了)機器の恒久切り離し
-
2025/9/30までにEoSとなるASAハードウェアは9/30までに恒久的に切断します。やむを得ず継続する場合は9/26 23:59(EDT)までに最新更新を適用し、CISAへ理由と廃止計画を報告します。
-
EoS:2026/8/31のASAハードウェアは9/26 23:59(EDT)までに最新更新を適用し、以降は公開後48時間以内に追加更新を適用します。
-
-
ASAv/Firepower FTDの更新
9/26 23:59(EDT)までに最新更新を適用し、以降は48時間以内に随時適用します。 -
最終報告(在庫と対応結果)
すべての機関は10/2 23:59(EDT)までに、CISA指定テンプレートで全インベントリ、実施アクション、結果を報告します。
実務ポイント
-
検知の前に隔離計画:ROM改ざんが疑われるため、電源断は避けて論理隔離し、証拠保全と駆除手順(Eviction Strategies)に従います。
-
資産管理の網羅性:本指令は受託運用・FedRAMP環境を含めたすべての自機関資産が対象です。契約先からの更新適用・ログ提供を確実に取り付けます。
-
48時間ルールの運用定着:Ciscoの新リリースに対し、48時間以内適用を実現できる体制(検証~展開)を標準フローに組み込みます。
-
恒久切断の意思決定:EoS機は延命よりも計画停止・更改を優先します。並行して代替回線/冗長経路の設計を見直します。
-
ROM改ざん前提のフォレンジクス:ブートチェーンの整合性確認、コアダンプ解析、設定・証跡のオフボックス保全を徹底します。








