投稿日時: 更新日時:
Cisco Talosは2025年12月17日、Cisco Secure Email Gateway(旧ESA)および Cisco Secure Email and Web Manager(旧SMA)を標的としたサイバー攻撃キャンペーンを公表しました。攻撃者は機器の設定不備を突き、システム権限でコマンドを実行可能な状態にしたうえで、独自のバックドアやトンネルツールを設置していたとされています。
目次
中国系とみられるグループ「UAT-9686」が関与か
Talos が追跡している攻撃者グループは「UAT-9686」と名付けられ、中国とつながりが疑われる APT(高度持続的脅威)と評価されています。これまで APT41 や UNC5174 など中国系とされるグループが使ってきたツールやインフラと共通点が多く、同系統の攻撃者による活動とみられています。
Cisco が最初に不審な挙動に気付いたのは 12月10日ですが、実際の攻撃は 11月下旬には始まっていた可能性が高いとされています。標的となったのは、AsyncOS を搭載する Cisco Secure Email Gateway と Secure Email & Web Manager で、いずれも「シスコ推奨から外れた非標準構成」の機器が狙われていたと報告されています。
関連記事:TOKAIコミュニケーションズ、法人向けメール製品へ不正アクセス 最大356万9,937通が情報漏洩の恐れ
Python 製バックドア「AquaShell」による継続的な侵入
今回のキャンペーンの中核となっていたのが、Talos が「AquaShell」と名付けた Python 製のバックドアです。
-
AsyncOS 上の既存 Web アプリケーションファイル(例:
/data/web/euq_webui/htdocs/index.py)にコードを埋め込む形で設置される -
攻撃者からの HTTP POST リクエストを受け取ると、固有のデコード処理+Base64 復号を行い、その結果を OS シェル上でコマンドとして実行する
-
認証は行わず、特定フォーマットのリクエストさえ届けば任意コマンドを受け付ける「受動型バックドア」
一度 AquaShell を仕込まれると、攻撃者はメールセキュリティアプライアンスそのものを足掛かりに、内部ネットワークに対する偵察や横展開を継続的に行える状態になってしまいます。
トンネルとログ隠滅:AquaTunnel / AquaPurge / Chisel
AquaShell の他にも、Talos は複数のツールが侵害機器上で使われていたことを確認しています。
AquaTunnel:リバース SSH トンネル
-
Go 言語で実装された ELF バイナリ
-
オープンソースの「ReverseSSH」をベースにしたトンネルツール
-
ファイアウォールや NAT の内側から、攻撃者側サーバーへ SSH で逆接続し、恒常的なリモートアクセス経路を確保
これにより、境界機器を経由して社内ネットワークへトンネルを張ることが可能になります。
AquaPurge:ログ消去ユーティリティ
-
ログファイルから、特定キーワードを含む行だけを削除する小さなツール
-
egrepの反転検索などを用い、攻撃関連の痕跡だけをピンポイントで取り除くことで、フォレンジック調査を困難にする目的とみられます。
Chisel:汎用トンネルツールの悪用
-
単一ポートで TCP/UDP トンネルを張れるオープンソースツール「Chisel」も併用
-
HTTP ベースの接続上に複数のトンネルを多重化でき、境界装置をプロキシとして内部システムへのアクセス経路を構築
Talos は、これらのツールのハッシュ値や C2 サーバーの IP アドレスなどを、Cisco 公式の GitHub リポジトリ「Cisco-Talos/IOCs(2025/12 ディレクトリ)」で IOC として公開しています。SIEM や EDR に取り込めば、同様の侵害の有無を機械的にチェックできます。
公開されている IOC と「PoC に近い」技術情報
今回、Talos はエクスプロイトコードそのもの(PoC)を公開しているわけではありませんが、
-
AquaShell の挙動・設置パス
-
HTTP POST によるコマンドの渡し方の概要
-
AquaTunnel / AquaPurge / Chisel の具体的な役割
-
使用されたファイル名・ハッシュ値・C2 IP
など、攻撃の具体像がかなり詳細に開示されています。
防御側から見ると、これらは「PoC に準じるレベルの技術情報」であり、検知ルールの作成や、テスト環境での再現・防御検証に利用できる内容です。
管理者が取るべき対策
Cisco Talos は、Cisco の公式セキュリティアドバイザリに従って確認・対処を進めるよう強く推奨しています。ポイントは次のとおりです。
1. 構成の見直し
-
管理インターフェースの公開範囲・アクセス制御
-
不要なサービスやポートが開いていないか
-
Cisco が推奨するベストプラクティス構成になっているか
特に、今回狙われたのは「非標準構成」のアプライアンスとされているため、自社環境が該当しないかチェックが必要です。
2. IOC による侵害有無の確認
-
Cisco-Talos/IOCs で公開されたハッシュ・IP・ファイルパス・プロセス名などと、自社ログ・EDR・ネットワーク機器のログを突き合わせる
-
不審なプロセス(見慣れない Python 実行、
chiselらしきバイナリ)や不明な外部 IP への長時間接続がないか確認
もし一致や疑わしい挙動が見つかった場合は、早急にインシデント対応を開始する必要があります。
3. Cisco TAC への相談
-
攻撃の痕跡が確認された場合や、判断に迷う場合は Cisco TAC にケースを立ち上げ、公式サポートの指示を仰ぐことが推奨されています。
メールセキュリティ機器が侵害される意味
メールセキュリティアプライアンスは、多くの組織にとってインターネットとの“出入口”に位置する重要な機器です。ここが侵害されると、
-
メールトラフィックの盗み見・改ざん
-
内部への踏み台としての悪用
-
他の内部システムへの横展開
といったリスクが一気に高まります。
Cisco Secure Email Gateway / Secure Email & Web Manager を利用している組織は、Cisco Talos のアドバイザリと GitHub の IOC を確認し、自社環境で同様の痕跡がないか、優先度高く点検しておくことが求められます。
関連記事
シスコのメールセキュリティ製品の脆弱性を狙うサイバー攻撃(CVE-2025-20393)
Ciscoがメール セキュリティ製品(Security Email Gateway)の重大な脆弱性を修正(CVE-2024-20401)
ロシア系ハッカーが世界中のBlender ユーザーを標的としたサイバー攻撃 キャンペーンを展開
Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)
Splunkで重大な脆弱性、対象者はアップデートを推奨(CVE-2025-20229、CVE-2025-20231)
PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認
Citrix「NetScaler ADC/Gateway」に深刻脆弱性、実際にDoS攻撃で悪用の可能性(CVE-2025-6543)
台湾政府に関連する研究機関へ中国のハッカー集団APT41が不正アクセス
VeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告(CVE-2024-29849)
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)