シスコ製メールセキュリティ製品を狙うサイバー攻撃-独自バックドア「AquaShell」を確認

セキュリティニュース

投稿日時: 更新日時:

シスコ製メールセキュリティ製品を狙うサイバー攻撃-独自バックドア「AquaShell」を確認

Cisco Talosは2025年12月17日、Cisco Secure Email Gateway(旧ESA)および Cisco Secure Email and Web Manager(旧SMA)を標的としたサイバー攻撃キャンペーンを公表しました。攻撃者は機器の設定不備を突き、システム権限でコマンドを実行可能な状態にしたうえで、独自のバックドアやトンネルツールを設置していたとされています。

中国系とみられるグループ「UAT-9686」が関与か

Talos が追跡している攻撃者グループは「UAT-9686」と名付けられ、中国とつながりが疑われる APT(高度持続的脅威)と評価されています。これまで APT41 や UNC5174 など中国系とされるグループが使ってきたツールやインフラと共通点が多く、同系統の攻撃者による活動とみられています。

Cisco が最初に不審な挙動に気付いたのは 12月10日ですが、実際の攻撃は 11月下旬には始まっていた可能性が高いとされています。標的となったのは、AsyncOS を搭載する Cisco Secure Email Gateway と Secure Email & Web Manager で、いずれも「シスコ推奨から外れた非標準構成」の機器が狙われていたと報告されています。

関連記事:TOKAIコミュニケーションズ、法人向けメール製品へ不正アクセス 最大356万9,937通が情報漏洩の恐れ

Python 製バックドア「AquaShell」による継続的な侵入

今回のキャンペーンの中核となっていたのが、Talos が「AquaShell」と名付けた Python 製のバックドアです。

  • AsyncOS 上の既存 Web アプリケーションファイル(例:/data/web/euq_webui/htdocs/index.py)にコードを埋め込む形で設置される

  • 攻撃者からの HTTP POST リクエストを受け取ると、固有のデコード処理+Base64 復号を行い、その結果を OS シェル上でコマンドとして実行する

  • 認証は行わず、特定フォーマットのリクエストさえ届けば任意コマンドを受け付ける「受動型バックドア」

一度 AquaShell を仕込まれると、攻撃者はメールセキュリティアプライアンスそのものを足掛かりに、内部ネットワークに対する偵察や横展開を継続的に行える状態になってしまいます。

トンネルとログ隠滅:AquaTunnel / AquaPurge / Chisel

AquaShell の他にも、Talos は複数のツールが侵害機器上で使われていたことを確認しています。

AquaTunnel:リバース SSH トンネル

  • Go 言語で実装された ELF バイナリ

  • オープンソースの「ReverseSSH」をベースにしたトンネルツール

  • ファイアウォールや NAT の内側から、攻撃者側サーバーへ SSH で逆接続し、恒常的なリモートアクセス経路を確保

これにより、境界機器を経由して社内ネットワークへトンネルを張ることが可能になります。

AquaPurge:ログ消去ユーティリティ

  • ログファイルから、特定キーワードを含む行だけを削除する小さなツール

  • egrep の反転検索などを用い、攻撃関連の痕跡だけをピンポイントで取り除くことで、フォレンジック調査を困難にする目的とみられます。

Chisel:汎用トンネルツールの悪用

  • 単一ポートで TCP/UDP トンネルを張れるオープンソースツール「Chisel」も併用

  • HTTP ベースの接続上に複数のトンネルを多重化でき、境界装置をプロキシとして内部システムへのアクセス経路を構築

Talos は、これらのツールのハッシュ値や C2 サーバーの IP アドレスなどを、Cisco 公式の GitHub リポジトリ「Cisco-Talos/IOCs(2025/12 ディレクトリ)」で IOC として公開しています。SIEM や EDR に取り込めば、同様の侵害の有無を機械的にチェックできます。

公開されている IOC と「PoC に近い」技術情報

今回、Talos はエクスプロイトコードそのもの(PoC)を公開しているわけではありませんが、

  • AquaShell の挙動・設置パス

  • HTTP POST によるコマンドの渡し方の概要

  • AquaTunnel / AquaPurge / Chisel の具体的な役割

  • 使用されたファイル名・ハッシュ値・C2 IP

など、攻撃の具体像がかなり詳細に開示されています。

防御側から見ると、これらは「PoC に準じるレベルの技術情報」であり、検知ルールの作成や、テスト環境での再現・防御検証に利用できる内容です。

管理者が取るべき対策

Cisco Talos は、Cisco の公式セキュリティアドバイザリに従って確認・対処を進めるよう強く推奨しています。ポイントは次のとおりです。

1. 構成の見直し

  • 管理インターフェースの公開範囲・アクセス制御

  • 不要なサービスやポートが開いていないか

  • Cisco が推奨するベストプラクティス構成になっているか

特に、今回狙われたのは「非標準構成」のアプライアンスとされているため、自社環境が該当しないかチェックが必要です。

2. IOC による侵害有無の確認

  • Cisco-Talos/IOCs で公開されたハッシュ・IP・ファイルパス・プロセス名などと、自社ログ・EDR・ネットワーク機器のログを突き合わせる

  • 不審なプロセス(見慣れない Python 実行、chisel らしきバイナリ)や不明な外部 IP への長時間接続がないか確認

もし一致や疑わしい挙動が見つかった場合は、早急にインシデント対応を開始する必要があります。

3. Cisco TAC への相談

  • 攻撃の痕跡が確認された場合や、判断に迷う場合は Cisco TAC にケースを立ち上げ、公式サポートの指示を仰ぐことが推奨されています。

メールセキュリティ機器が侵害される意味

メールセキュリティアプライアンスは、多くの組織にとってインターネットとの“出入口”に位置する重要な機器です。ここが侵害されると、

  • メールトラフィックの盗み見・改ざん

  • 内部への踏み台としての悪用

  • 他の内部システムへの横展開

といったリスクが一気に高まります。

Cisco Secure Email Gateway / Secure Email & Web Manager を利用している組織は、Cisco Talos のアドバイザリと GitHub の IOC を確認し、自社環境で同様の痕跡がないか、優先度高く点検しておくことが求められます。

参照