シスコのメールセキュリティ製品の脆弱性を狙うサイバー攻撃(CVE-2025-20393)

セキュリティニュース

投稿日時: 更新日時:

シスコのメールセキュリティ製品の脆弱性を狙うサイバー攻撃(CVE-2025-20393)

シスコは2025年12月17日、Cisco Secure Email GatewayおよびCisco Secure Email and Web Manager(いずれもCisco AsyncOS)を狙った新たなサイバー攻撃

キャンペーンを把握したとして、注意喚起を公開しました。

脆弱性と攻撃キャンペーンの概要

シスコは2025年12月17日、Cisco Secure Email Gateway および Cisco Secure Email and Web Manager(いずれも Cisco AsyncOS)を狙う攻撃キャンペーンを把握したとして注意喚起を公開しています。アドバイザリでは、CVE-2025-20393(CVSS 10.0、Critical)に関連し、攻撃が成功した場合は影響を受けるアプライアンスの基盤OS上でroot権限による任意コマンド実行に至る可能性があると説明しています。また、侵害後も制御を維持するための**永続化(持続的メカニズム)**が仕込まれている証拠が見つかっている、としています。

対象バージョン

本件は「特定のバージョンだけが対象」という整理ではなく、Cisco AsyncOSのすべてのリリースが影響を受け得ると明記されています。

対象製品は Cisco Secure Email Gateway(物理/仮想)と Cisco Secure Email and Web Manager(物理/仮想)で、

特に次の2条件を満たす場合に攻撃対象になり得る、とされています。

(1) スパム検疫(Spam Quarantine)が設定されている、(2) スパム検疫がインターネットに公開され到達可能

スパム検疫はデフォルトでは有効化されていない点も補足されています。

対策バージョン

少なくとも、シスコが公開した当該アドバイザリ(2025年12月17日、Version 1.0:Interim)の範囲では、「このバージョンに上げれば解消する」といった対策バージョン(修正版)の提示は読み取れません

加えて「回避策:No workarounds available」とされており、現時点ではシスコが示す推奨事項に従ってリスク評価と軽減(例:スパム検疫の公開状態の見直し、侵害の疑いがあればTACで調査)を行い、アドバイザリ更新を継続監視することが前提になります。

Talosの分析

Cisco Talosは、この攻撃を「UAT-9686」という追跡名で扱い、Secure Email Gateway/Secure Email and Web Managerを継続的に狙っていると報告しています。Talosの記述では、攻撃者は侵入後に追加ツールを投入し、アクセス維持や痕跡消し込みまで含めた一連の作業を進める様子が示されています。

Talosが挙げる代表的なツール群はAquaShellです

AquaShellはバックドアとして利用され、侵害機器へのリモートアクセス維持を支える役割を担うとされています。

さらに、ネットワーク内の通信経路を整えるためのchiselや、後始末(クリーンアップ)を想起させるAquaPurgeの存在にも触れています。

日本での影響例:TOKAIコミュニケーションズが“不正アクセスの可能性”を公表

国内では、TOKAIコミュニケーションズが法人向けメールサービス「OneOffice Mail Solution」の一部(スパムメール隔離サービス)で不正アクセスの可能性を検知し、調査の結果、Cisco製品の脆弱性を悪用された形跡があったとして公表しています。

対象はスパム隔離サーバや、アカウント情報等を管理するLDAPサーバで、現時点では「漏えいの事実は確認されていない」としながらも、隔離メール本文に含まれる情報やホワイト/ブラックリスト情報、ログインID/パスワードなどが“漏えいした可能性”として挙げられています。

同社は、情報が悪用されればフィッシングやスパム送付につながる可能性があるとして注意喚起しており、また「対象機器の脆弱性が改善されていない」ことを理由に、スパムメール隔離サービス管理画面へのアクセスを停止しているとも説明しています。