米国上院議員ビル・キャシディは、「少なくとも1つの連邦機関」がハッカーに侵害されたとされるファイアウォールの脆弱性について、Ciscoに厳しい書簡を送付しました。
キャシディの書簡 [PDF] は、CiscoのCEOチャック・ロビンスに宛てられ、同社が重大な脆弱性、すなわちCVE-2025-20333およびCVE-2025-20362について、どのような知識を持ち、どのように対応したのか明確にするよう求めています。これらの脆弱性は、米国政府が連邦民間機関向けに緊急パッチ適用指令を発出するきっかけとなりました。
キャシディは「この脆弱性の結果、すでに少なくとも1つの連邦機関が侵害されている」と述べていますが、Ciscoはこの主張を公に認めても否定もしていません。
この書簡は、CISAがこれらの脆弱性について警鐘を鳴らしてから数週間後に送付されました。CISAは、CiscoのAdaptive Security Appliance(ASA)およびFirepower Threat Defense(FTD)デバイスが未修正のままだと「政府システムに容認できないリスク」が生じると警告し、連邦機関に対し、影響を受ける機器の特定、ログの確認、Ciscoの修正パッチの適用を24時間以内に行うよう指示しました。また、サポート終了(EoS)となったデバイスは完全に撤去するよう求めました。
当時、Ciscoはこの脆弱性が5月にはすでに悪用されていたことを認めており、政府のインシデント対応者がASA 5500-Xファイアウォールの侵害調査のために同社を呼び寄せていました。同社によれば、攻撃者は「インプラントの設置、コマンドの実行、データの吸い上げ」を、一般に公表される前から行っていたとのことです。
数か月にわたる悪用はArcaneDoorキャンペーンに関連付けられており、2024年4月に初めて明るみに出ました。当時、Ciscoはこの活動を「UAT4356」と呼ばれる中国系の脅威グループによるものと特定しており、同グループは2023年11月以降、世界中の政府システムをこれらのバグを利用して侵害していました。
キャシディの要求は、現在の緊張関係を浮き彫りにしています。HELP(保健・教育・労働・年金)委員会の委員長として、キャシディはCiscoに対し、顧客に対する具体的な脅威を特定したかどうか、影響を受けた機関や業界とどのように連携しているか、その指針がCISAのものと一致しているか、そして広範な顧客層に対してリスクやパッチ情報をどのように伝えているかを明らかにするよう求めています。
また、米国の多くの企業、特に中小企業や非営利団体は正式なCISO(最高情報セキュリティ責任者)を持たず、Ciscoのようなベンダーに専門知識のギャップを埋めてもらう必要があると指摘しています。
「世界最大のネットワークインフラプロバイダーとして、Ciscoは連邦政府だけでなく、事実上すべての企業にツールを提供する独自の立場にあります」とキャシディは書いています。「これらのツールは、消費者や企業がケアサービス、教育ツール、そして企業運営に必要なプラットフォームに接続するためのものです。Ciscoのシステムに脆弱性があれば、何百万人ものアメリカ人のこのアクセスが危険にさらされます。
「Ciscoが連邦政府と協力してサイバーセキュリティの脆弱性を修正する際には、これらの関係者とも連携し、彼らのシステムが保護されていることを確実にしなければなりません。」
キャシディの公開による圧力は、Ciscoだけでなく、ミッションクリティカルなインフラを提供するすべてのベンダーに対して、サイバーセキュリティにおける透明性と説明責任は必須であるというメッセージを送っています。同社はキャシディの質問に10月27日までに回答する必要があり、この期限は同社のセキュリティ体制だけでなく、政治的な防御力も試されることになるかもしれません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/16/cisco_senate_scrutiny/
