2026年4月、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)と英国国家サイバーセキュリティセンター(NCSC)は、国家関与型APTアクターUAT-4356がCisco Firepower機器に仕込んだ新たなバックドア「FIRESTARTER」に関する共同アドバイザリを発表しました。本マルウェアはすでに2025年9月、米国連邦民間行政機関に属する組織のCisco Firepower機器で発見されており、その後約6か月後の2026年3月まで、攻撃者の再侵入経路として利用されていたことが確認されています。今回の攻撃は、既存の脆弱性(CVE-2025-20333、CVE-2025-20362)を悪用して初期アクセスを確保した後、LINE VIPERおよびFIRESTARTERを通じてネットワーク機器自体を掌握する形で実行されました。特にネットワーク境界機器を標的としている点で、一般的なエンドポイント攻撃とは異なるレベルのリスクを持っています。
本記事では、FIRESTARTERの技術的構造と侵害フローを分析し、外部に公開されたCisco ASA資産が本キャンペーンにおいてどのような攻撃対象領域を形成するのかを考察します。
FIRESTARTERの概要
| 項目 | 内容 |
|---|---|
| マルウェア名 | FIRESTARTER |
| 影響対象 | Cisco ASAソフトウェアまたはFirepower Threat Defense(FTD)を実行するCisco FirepowerおよびSecure Firewall機器 |
| 攻撃タイプ | バックドア |
| 関連脆弱性 | CVE-2025-20333 (CVSS 9.9), CVE-2025-20362 (CVSS 6.5) |
| 特徴 | ファームウェアアップデート後も持続性を維持再起動後も自動的に再実行LINAプロセス内部にフックしてコマンドを実行 |
| 関連ツールキット | LINE VIPER (ポストエクスプロイト) |
FIRESTARTERは、国家支援型APTグループUAT-4356(Storm-1849)が配布したカスタムバックドアです。Cisco Talosは同グループを2024年のArcaneDoorキャンペーンの背後にある存在として特定しており、当時もCisco ASA機器のゼロデイ脆弱性2件(CVE-2024-20353、CVE-2024-20359)を悪用して、Line DancerやLine Runnerといったマルウェアを展開していました。FIRESTARTERは、2025年9月にパッチが公開されたn-day脆弱性(CVE-2025-20333、CVE-2025-20362)を悪用する形へと進化しており、既知のRayInitiatorブートキットと技術的に高い類似性を示しています。
攻撃フロー分析
Phase 1 – 初期侵入
UAT-4356は2つの脆弱性をチェーンして初期アクセスを確保します。CVE-2025-20362(CVSS 6.5)は、Cisco ASA・FTDのVPN Webサーバーコンポーネントに存在する未認証URLアクセス脆弱性です。攻撃者は認証なしで制限されたURLパスにアクセスでき、これによりセッション検証の回避や認証情報の窃取、偵察活動が可能となります。CVE-2025-20333(CVSS 9.9)は、同じWebVPNコンポーネントにおいて、有効なVPNユーザー認証情報を持つリモート攻撃者がroot権限で任意コードを実行できる脆弱性です。これら2つを組み合わせることで、実質的に未認証リモートコード実行が可能な条件が成立します。攻撃者は初期侵入後、直ちにポストエクスプロイトツールキットであるLINE VIPERを展開します。
Phase 2 – FIRESTARTERのインストールと持続性確保
LINE VIPERにより得たアクセス権をもとに、攻撃者はFirepower機器へFIRESTARTERを導入します。FIRESTARTERはLinux ELFバイナリであり、装置の中核となるネットワーク処理エンジンであるLINA(Linux-based Integrated Network Architecture)プロセスにフックを挿入します。このフックは正常なWebVPN XMLハンドラ関数を悪意あるStage 2シェルコードのアドレスへ置き換えます。その後、攻撃者が特定の「マジックパケット」パターンを含む細工されたWebVPN認証リクエストを送信すると、LINA内部で任意のシェルコードが実行されます。
持続性確保の仕組みは、Cisco Service Platform(CSP)のマウントリストであるCSP_MOUNT_LISTを改変することで実現されます。装置が再起動信号を受信すると、FIRESTARTERは自身をバックアップパス(/opt/cisco/platform/logs/var/log/svc_samcore.log) へコピーし、CSP_MOUNT_LISTを変更して再起動後に/usr/bin/lina_cs 経由で再実行されるよう設定します。再起動完了後には改変されたマウント情報を元に戻し、関連ファイルを削除して痕跡を隠蔽します。この仕組みはソフトリブートやファームウェアアップデートでは除去できず、電源を物理的に遮断するハードパワーサイクルによってのみ除去可能です。Ciscoは「shutdown、reboot、reloadといったCLIコマンドでは除去されず、電源コードを直接抜く必要がある」と明示しています。
Phase 3 – パッチ後6か月の潜伏と再侵入
本件の核心は、パッチ適用後にも攻撃者が再侵入に成功した点にあります。CISAが公開した連邦機関の侵害事例によると、2025年9月初旬に初期侵入が行われ、同月25日以前にFIRESTARTERが導入されました。その後、当該機関がパッチを適用したにもかかわらず、2026年3月まで攻撃者はFIRESTARTERを通じて装置へ再アクセスし、LINE VIPERを再展開していました。約6か月にわたり、攻撃者は検知されることなくアクセスを維持していたと評価されています。
Phase 4 – 中国系APTによるSOHOコバートネットワーク
今回のFIRESTARTERアドバイザリは、米国・英国など5か国が参加した別の共同勧告とともに公開されました。この勧告では、Volt TyphoonやFlax Typhoonなどの中国系APTグループが、SOHOルーター、IPカメラ、DVRといったコンシューマ向けIoT機器を侵害し、コバートネットワークを構築していることが指摘されています。これらのネットワークは攻撃トラフィックの中継ノードとして利用され、複数のAPTグループで共有される場合もあり、静的IPブロックに依存した防御を無力化します。FIRESTARTERキャンペーンの背後とされるUAT-4356は、この中国系APTエコシステムと関連していると見られており、2024年のArcaneDoor、2026年のSilver Dragon、Operation TrueChaosといった一連のキャンペーンにおいて、正規インフラや信頼されたチャネルを悪用して悪性活動を隠蔽する同様の戦術を繰り返しています。
Criminal IPで観測された外部公開Cisco ASA資産
FIRESTARTERキャンペーンにおける実際の攻撃対象領域を評価するため、Criminal IP IT資産検索を活用し、インターネット上に公開されたCisco ASA資産を特定・分析しました。
Criminal IP 検索クエリ: product: “cisco asa firewall http config”
Cisco ASA機器はHTTP設定インターフェースに固有の製品識別子を露出するため、製品名ベースの検索のみでも管理インターフェースが外部に公開された機器を効果的に検出できます。このクエリはSSL VPN機能の有効化有無に関係なく、インターネットから管理インターフェースへアクセス可能なすべてのCisco ASA機器を特定でき、FIRESTARTERバックドアキャンペーンの潜在的被害資産の把握や、CISA・NCSC共同アドバイザリで言及されたチェーン攻撃対象の確認に活用できます。
2026年4月時点で、本クエリにより約2,250件の公開資産が特定されました。これらは単なる外部公開システムではなく、管理インターフェースがインターネットへ直接露出したネットワークセキュリティアプライアンスです。認証バイパスとリモートコード実行ベクトルが組み合わさるシナリオでは、これらの資産は追加条件なしで即時に悪用可能な高リスク対象となります。
Criminal IP 検索クエリ: product: “cisco asa firewall http config” tag: “SSL VPN”
公開されているCisco ASA資産のうち、実際にSSL VPNサービスを外部へ公開している機器のみを抽出すると、本キャンペーンと最も直接的に関連する高リスク資産群が明らかになります。FIRESTARTERバックドアは、細工されたWebVPN認証リクエストに含まれる「マジックパケット」を解析して任意のシェルコードを実行する仕組みであるため、SSL VPNを外部公開している機器が最も直接的な攻撃対象領域となります。本クエリにより、2026年4月時点で57台の機器がSSL VPNサービスをインターネット上に直接公開していることが確認されました。これらはCISA・NCSCアドバイザリで示された攻撃プロファイルと一致し、管理インターフェースとVPN機能の双方が外部からアクセス可能な状態で、FIRESTARTER導入の直接的な侵入経路を提供します。
個別資産を詳細に分析すると、HTTPS(443)と管理インターフェースポートが同時に開放されているケースが多数確認されます。これはVPN機能と管理機能の双方がインターネットに露出している状態であり、攻撃者にとってFIRESTARTERインプラントやLINE VIPERポストエクスプロイトツールを展開する複数の侵入経路が存在することを意味します。FIRESTARTERが導入された環境では、単なる初期侵入にとどまらず、バックドアがファームウェア更新や再起動後も存続し、ブートプロセスに自身を登録して毎回自動的に再起動します。さらにLINE VIPERはパケットキャプチャ、VPN認証バイパス、syslog抑制、認証情報の窃取を可能にし、初期侵害が検知・修正された後も、攻撃者が継続的かつ秘匿的なアクセスを維持できる環境を構築します。
パッチ状況および対応策
CVE-2025-20333およびCVE-2025-20362は2025年9月のパッチで修正されましたが、確認されている通り、すでに侵害された機器ではパッチ適用のみではFIRESTARTERバックドアは除去されません。FIRESTARTERはCSP_MOUNT_LISTを改変し、起動時に自動実行される仕組みを持っており、通常のソフト再起動(reboot、reload)やファームウェアアップデートでは削除できません。Ciscoも本マルウェアの除去手段として、物理的な電源遮断(ハードパワーサイクル)または機器の再イメージ化(Reimage)を推奨しています。つまり、本件の対応は単なるパッチ適用ではなく、「すでに侵害されている可能性」を前提とした対策が必要です。
組織は以下の優先順位で対応する必要があります。
- Cisco ASA/FTD機器を最新パッチバージョンへ更新
- 感染が疑われる機器に対して再イメージ化(Reimage)を実施
- 物理的な電源遮断による完全再起動の実施
- 管理インターフェース(HTTP/HTTPS)の外部公開を遮断
- SSL VPN(WebVPN)へのアクセス制御およびIP制限の適用
特に外部に公開されている機器は、パッチ適用の有無に関係なく攻撃対象となる可能性があるため、管理インターフェースおよびVPNアクセス経路の制御を優先的に実施する必要があります。
また、侵害の可能性が確認された場合、以下の項目はすべて信頼できない状態として扱う必要があります。
- VPNユーザーアカウントおよび認証情報
- 機器設定(Configuration)全体
- 認証およびセッション関連の鍵情報
- ネットワークトラフィックおよびログデータ
これは、FIRESTARTERとLINE VIPERの組み合わせにより、パケットキャプチャ、認証バイパス、ログ隠蔽、認証情報の窃取がすべて可能となるためです。
FAQ
Q1. パッチをすでに適用している場合でも、FIRESTARTERの確認は必要ですか。
はい。本件の重要なポイントはここにあります。CVE-2025-20333およびCVE-2025-20362のパッチは脆弱性自体を修正しますが、パッチ適用前にすでにFIRESTARTERが導入されている機器ではバックドアは除去されません。実際の連邦機関の事例でも、パッチ適用後約6か月にわたり、攻撃者がFIRESTARTERを通じて再侵入していました。パッチ適用の有無にかかわらず、CLIコマンドやコアダンプを用いた感染有無の確認が必要です。
Q2. Cisco ASAをファイアウォール・VPNとして運用している組織は、どの対策を優先すべきですか。
まず、外部からアクセス可能なCisco ASA機器を網羅的に把握することが出発点となります。特にVPN Webインターフェース(WebVPN/SSL VPN)がインターネットに公開されている機器は、本キャンペーンの直接的な攻撃対象となるため、可能であれば直ちに外部アクセスを制限または遮断する必要があります。その後、show kernel process | include lina_cs コマンドにより感染の有無を確認し、感染が確認された場合はハードパワーサイクルおよび再イメージ化を実施します。あわせて、関連する設定および認証情報はすべて信頼できないものとして扱い、全面的な更新が必要です。
結論
FIRESTARTER事案は、ネットワークエッジセキュリティに対する根本的な再認識を求めるものです。ファイアウォールやVPNアプライアンスは、組織のすべてのトラフィックが通過する最も信頼された防御装置であると同時に、攻撃者にとって最も価値の高い標的でもあります。本事例では、攻撃者はパッチ適用後も6か月にわたり検知されることなく機器に残存し、ファイアウォール自体をトラフィック傍受や認証情報窃取の手段へと転用しました。CISAが緊急指令で強調したように、脆弱性パッチは必要条件に過ぎず、十分条件ではありません。パッチ適用以前に外部へ公開されていた機器の所在を把握し、実際に侵害されているかを積極的に確認することが、セキュリティ対応の出発点となります。ネットワークエッジの防御は、もはやファイアウォールルールの強度だけで決まるものではなく、そのエッジが現在誰に公開されているのか、すでに侵入されていないかを継続的に把握することが重要です。
なお、関連して nginx-ui MCPwn(CVE-2026-33032)分析:MCP認証の欠落によるNginxサーバー乗っ取り 記事も参考にできます。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), SECURITYWEEK (https://www.securityweek.com/us-federal-agencys-cisco-firewall-infected-with-firestarter-backdoor/), digwatch (https://dig.watch/updates/cisa-firestarter-malware-cisco-directive), TheHackerNews (https://thehackernews.com/2026/04/firestarter-backdoor-hit-federal-cisco.html)