包囲されるCisco：Akiraランサムウェアと国家主体がいかにしてアメリカの最重要ネットワークインフラを悪用しているか

身代金2億4,400万ドル、中国APTグループ、そして連邦機関がCiscoファイアウォールのパッチ適用を維持できない理由

エグゼクティブサマリー

FortinetやSonicWallの脆弱性悪用危機が注目を集める一方で、事実上あらゆる大企業、政府機関、重要インフラ組織に導入されているCiscoネットワーク機器は、Akiraランサムウェアによる2億4,400万ドル規模のキャンペーンと、高度な中国国家主体によるスパイ活動の両方における「震源地」となっている。

問題の規模は、驚くべきレベルに達している。

• 約48,000台の未パッチのCisco ASA/FTDアプライアンスが、2025年11月時点でインターネットに晒されたまま
• Akiraランサムウェアは、初期侵入のために複数のCiscoのCVEを武器化
• 中国APTグループ（UAT4356/Storm-1849）は、2024年以降Ciscoのゼロデイを悪用
• 連邦機関自身が、脆弱なCisco機器へのパッチ適用に苦戦し、CISAによる緊急指令を招く事態に
• 2024年のサイバーインシデントの60％が、主にCisco製品のVPNの弱点を突いたアイデンティティベース攻撃に関連

これは机上の話ではない。議会予算局（CBO）は2025年の政府閉鎖中、パッチ未適用のCiscoファイアウォールを通じて侵害された。158年の歴史を持つKNP Logisticsは、Akiraランサムウェアが脆弱なCisco VPN認証情報を悪用したことで壊滅した。ArcaneDoorキャンペーンでは、再起動やアップグレード後も生き残る高度な永続マルウェアがCisco ASA機器に展開された。

不都合な真実はこうだ。Ciscoがあまりに普及しすぎた結果、ランサムウェアエコシステムにおいて最も価値の高い標的となり、Akiraはそれを大規模に悪用する方法を完全に把握している。

AkiraとCiscoの結びつき：2億4,400万ドル、そして今も増加中

AkiraのCisco特化型攻撃戦略

2023年3月に出現して以来、Akiraランサムウェアは2025年9月時点で約2億4,417万ドルの身代金収益を上げており、史上最も金銭的に成功したランサムウェアオペレーションの一つとなっている。Akiraを特に危険な存在にしているのは、初期侵入のためにCisco製品を体系的に狙っていることだ。

CISAが2025年11月に更新した勧告では、Akiraが悪用している複数のCisco脆弱性が明確に指摘されている。

Akiraが悪用している主なCiscoのCVE：

• CVE-2020-3259（CVSS 7.5）- Cisco ASA/FTDにおける情報漏えい
• CVE-2023-20269（CVSS 5.3）- 代替パスを利用した認証バイパス
• CVE-2020-3580（CVSS 6.1）- Cisco ASA/FTDにおけるクロスサイトスクリプティング
• CVE-2024-37085（CVSS 8.1）- 主要な弱点による認証バイパス

典型的な攻撃パターン：

1. 偵察：インターネット上の公開Cisco VPNエンドポイントをスキャン
2. 初期侵入：未パッチのCVEを悪用、または脆弱な認証情報を総当たり攻撃
3. MFAバイパス：VPN特有の高度な手法（プッシュ通知疲労攻撃、セッションハイジャック）を使用
4. 権限昇格：Cisco特有の設定ミスを悪用
5. 横移動：侵害されたCisco機器からRDP、AnyDesk、LogMeInを利用
6. データ流出：初期侵入から最短2時間で完了
7. 暗号化：.akiraまたは.powerranges拡張子を付与するAkira_v2ランサムウェアを展開

現実の影響：KNP Logisticsのケーススタディ

2024年6月に発生したKNP Logisticsの崩壊は、AkiraによるCisco悪用戦略を完璧に示している。

企業概要：

• 創業：1865年（158年間の継続運営）
• 業種：運輸・物流
• 従業員数：730名
• ステータス：英国最大級の民間物流グループの一つ

攻撃ベクター：

• AkiraはCisco VPNアカウントの脆弱なパスワード（MFA未導入）を悪用
• 総当たり攻撃により従業員の認証情報を奪取
• 攻撃者はCisco ASA SSL VPNエンドポイントにアクセス
• 重要な財務・業務システムを暗号化

結果：

• 同社は管財手続き（英国版の破産手続き）に移行
• 全730名の従業員が職を喪失
• 158年続いた企業が数週間で壊滅
• 取締役Paul Abbott氏は、パスワードが侵害された従業員に知らせることができなかったと明かした。「もし自分だったら、知りたいと思いますか？」

防げた要因：

• VPNに多要素認証が未導入
• 脆弱なパスワードポリシー
• Cisco ASAの脆弱性が未パッチ
• ネットワークセグメンテーションの欠如
• 不十分なバックアップ戦略

財務的現実：

• 復旧コストが利用可能な資源を超過
• 顧客の信頼喪失により事業継続が不可能に
• もともと厳しい市場環境が回復を不可能にした

この事例は、AkiraがCisco機器を持ち、かつセキュリティ体制が弱い中小企業（SME）を意図的に標的としていることを示している。こうした組織はエンタープライズ級のCiscoインフラを導入していながら、エンタープライズ級のセキュリティチームを持たない。

Akiraの標的プロファイル

2025年10月のランサムウェアキャンペーンに関する当社分析によると、Akiraは明確な被害者の傾向を示している。

業種別の焦点：

• 建設業（主要ターゲット）- 10月の被害者の35％
• 製造業 – 28％
• 重要インフラ – 15％
• 教育機関 – 10％
• 小売・テクノロジー – 12％

地理的分布：

• アメリカ合衆国 – 被害者の70％
• イタリア – 10％（異常に高い集中度）
• イギリス – 8％
• その他 – 12％

企業規模：

• 中堅企業（売上1,000万〜5億ドル）
• 従業員数100〜5,000名
• 「何かを作る、または修理する」企業
• Ciscoネットワーク機器（ASA/FTD/VPN）を保有する組織

レトロ美学： Akiraは、Torベースのリークサイト上で1980年代風の「グリーンスクリーン」コンソールインターフェースを採用している。1988年のアニメ映画『AKIRA』へのオマージュであり、被害者はテキストコマンドでサイトと対話しなければならない。このノスタルジーと現代犯罪の不気味な対比が特徴だ。

厚かましさの度合い： ある交渉事例では、60万ドルの要求から20万ドルで和解した後、Akiraは被害者にセキュリティチェックリストを提供した。つまり「今後ハッキングされないためのアドバイス」を攻撃後に与えたのである。これは、グループが自信を持っており、脆弱なCisco構成が今後も標的を提供し続けると理解していることを示している。

中国からの脅威：ArcaneDoorとその先

ArcaneDoor：最も高度なCisco悪用キャンペーン

2024年初頭、Ciscoは後にArcaneDoorとして知られることになるキャンペーンを発見した。これはCisco ASAおよびFirepower Threat Defense（FTD）機器を標的とした高度なスパイ活動キャンペーンである。迅速な金銭化を狙うランサムウェアとは異なり、ArcaneDoorは国家レベルの能力を持ち、長期的な永続アクセスを目的としている。

属性情報：

• UAT4356（Ciscoによる呼称）
• Storm-1849（Microsoftによる呼称）
• 高い確度での属性：中国と関連する脅威アクター

悪用されたゼロデイ：

• CVE-2024-20353（CVSS 8.6）- WebサービスのDoS
• CVE-2024-20359（CVSS 6.0）- 永続的なローカルコード実行

マルウェアインプラント：

Line Dancer（メモリ常駐型バックドア）：

• 完全にメモリ上に存在（ファイルレス）
• 任意のシェルコードペイロードを実行
• 機能：
  • 活動を隠すためにシステムログを無効化
  • パケットキャプチャを流出
  • root権限でコマンドを実行
  • RAM内にのみ存在することで検知を回避

Line Runner（永続的なHTTPベースのLuaインプラント）：

• CVE-2024-20353およびCVE-2024-20359を悪用してインストール
• 再起動やファームウェアアップグレード後も生存
• HTTPベースのC2（コマンド＆コントロール）
• 移植性を高めるためLuaで記述
• パッチ適用後も永続的なバックドアアクセスを提供

攻撃の高度さ：

• 攻撃者はログを無効化して痕跡を隠蔽
• CLIコマンドを傍受し、管理者の操作を監視
• 診断分析を妨げるために意図的に機器をクラッシュ
• 高度な回避技術を用いて検知を回避
• 複数のファームウェアバージョンをまたいでアクセスを維持

タイムライン：

• 2023年7月：UAT4356がキャンペーンの準備を開始
• 2024年1月初旬：Ciscoが最初の侵入を検知
• 2024年4月24日：CiscoがArcaneDoorを公表
• 2025年9月：キャンペーンは継続中で、手法も進化

2025年9月：連邦機関への攻撃継続

ArcaneDoorの脅威アクターは活動を止めていない。2025年9月、Ciscoは新たな脆弱性を悪用した継続的な攻撃を確認した。

CVE-2025-20333（CVSS 9.9 – クリティカル）：

• リモートコード実行
• 認証不要
• Cisco ASAおよびFTDプラットフォームに影響

CVE-2025-20362（CVSS 8.1 – 高）:

• 認証バイパス
• 認可されていない管理者アクセスを許可

CISA緊急指令25-03（2025年9月25日発出）：

• 全連邦民間機関に対し、直ちに脆弱性へ対処するよう命令
• 各機関にパッチ適用状況の報告を義務付け
• CISA緊急指令史上、最も短い対応期限

連邦のパッチ適用失敗： 2025年11月、CISAは衝撃的な追跡警告を発出した。連邦機関は脆弱なCisco機器に十分なパッチを適用していなかったのである。

CISAの分析によれば、各機関の報告で「パッチ適用済み」とされていた機器が、実際には依然として脆弱なソフトウェアバージョンに更新されていただけであることが判明した。これは連邦サイバーセキュリティ運用の壊滅的な崩壊を意味する。機関側はパッチ適用済みと認識していたが、実際には露出したままだったのだ。

悪用状況：

• Palo Alto Networks Unit 42は、以下を標的としたスキャン／悪用活動を観測：
  • 連邦機関の12 IPアドレス
  • 州・地方政府の11 IPアドレス
  • 政府系IP：インド、ナイジェリア、日本、ノルウェー、フランス、英国、オランダ、スペイン、オーストラリア、ポーランド、オーストリア、UAE、アゼルバイジャン、ブータン

規模：

• 約48,000台の未パッチのCisco ASA/FTDアプライアンスがインターネットに晒されたまま
• パッチ公開から数日以内に悪用が確認
• 連邦のパッチ適用失敗により、国家支援攻撃者は数か月単位の先行期間を得た

議会予算局（CBO）の侵害

おそらくCisco関連で最も恥ずべき侵害は、2025年の政府閉鎖中に発生した議会予算局（CBO）での事案だ。

タイムライン：

• 2024年10月：重大なCiscoファイアウォール脆弱性が発見
• 2025年10月1日：連邦政府閉鎖が始まり、CISA職員の3分の2が一時帰休
• 2025年10月：CBOのCisco ASAファイアウォールは2024年以降パッチ未適用のまま
• 2025年10月下旬：中国APTグループが未パッチのCiscoファイアウォールを通じてCBOを侵害
• 2025年11月：侵害が発覚し、議会スタッフに警告が発出

主なポイント：

• セキュリティ研究者Kevin Beaumont氏が、CBOが極めて古く、パッチ未適用のCisco ASAファイアウォールを稼働させていることを特定
• 当該ファイアウォールには既知の重大脆弱性が存在
• 政府閉鎖により、通常のパッチ適用や保守が停止
• 中国政府系ハッカーと疑われるグループが未パッチのシステムを悪用
• CBOは「直ちに封じ込め措置を講じた」と述べたが、警告内容からは封じ込めが完全ではないことが示唆される

なぜ重要か：

• 議会予算局は、連邦予算と経済影響を分析する機関
• 侵害により、以下への洞察が得られる可能性：
  • 米国の予算優先事項
  • 防衛支出計画
  • 経済予測
  • 立法戦略
• この事案は、議会自身ですらCisco機器にパッチを維持できていないことを示している

Operation Zero Disco：SNMPルートキットキャンペーン

2025年10月、Trend MicroはOperation Zero Discoと名付けられた、CiscoのSNMP脆弱性を悪用してLinuxルートキットを展開するアクティブなキャンペーンを発見した。

CVE-2025-20352（クリティカル）：

• Cisco 9400、9300、およびレガシーの3750Gシリーズスイッチに影響
• SNMP悪用によるリモートコード実行
• 32ビット版と64ビット版の両方が影響

攻撃手法：

1. CiscoのSNMP脆弱性を悪用
2. スイッチ上にLinuxルートキットを展開
3. 「disco」という単語を含む共通パスワードを設定（「cisco」から1文字変えただけ）
4. IOSdのメモリ空間にフックをインストール
5. 再起動後に消えるファイルレスマルウェアを有効化
6. 不正な永続アクセスを維持

回避メカニズム：

• 攻撃者はなりすましIPおよびMACアドレスを使用
• 新しいスイッチにはASLRがあり、成功率を低下させる
• しかし繰り返し試行することで最終的に成功
• Telnet脆弱性（CVE-2017-3881を改変）を利用してメモリアクセスを有効化

影響を受ける機器：

• Cisco Catalyst 9400シリーズ
• Cisco Catalyst 9300シリーズ
• Cisco Catalyst 3750Gシリーズ（レガシー、すでにサポート終了）

なぜ「Disco」なのか？ Trend Microの調査によれば、「disco」を含む共通パスワードは「cisco」を1文字だけもじったものであり、攻撃者がベンダーを文字通り嘲笑しながら機器を侵害していると考えられる。

Ciscoのアイデンティティ危機：2024年侵害の60％

脆弱性悪用から「正規認証情報」へのシフト

Cisco Talosの2024年年間レビューによると、サイバーセキュリティの状況は根本的に変化している。

2024年のサイバーインシデントの60％が、アイデンティティベースの攻撃に関連していた。

これは何を意味するか：

• 攻撃者はもはやソフトウェア脆弱性の悪用だけに依存していない
• 代わりに、正規の認証情報を使って正当なログインを行う
• CiscoのVPN機器（ASA、FTD、AnyConnect）が主要な標的
• 一度正規の認証情報を得れば、攻撃者は正当なユーザーとして振る舞える

アイデンティティを用いた攻撃フェーズ：

1. 初期侵入（ランサムウェア攻撃の69％）- 盗まれた認証情報
2. 権限昇格 – 侵害された管理者アカウントを用いた正当な昇格
3. 横移動 – 認証済みユーザーとしてシステム間を移動
4. 永続化 – 追加の正規アカウントを作成

標的となるシステム：

• Active Directory – アイデンティティベースインシデントの44％
• クラウドAPI – アイデンティティ関連侵害の20％
• VPNサービス – Cisco ASA、FTD、AnyConnectが主要ベクター

認証情報が盗まれる手口：

• インフォスティーラー（2024年に84％増加）
• VPNユーザーを狙ったフィッシングキャンペーン
• 公開VPNエンドポイントに対する総当たり攻撃
• MFA疲労攻撃（プッシュ通知の連打）
• 初期アクセスブローカーによる、すでに侵害された認証情報の販売

Ciscoとの関係： CiscoのVPN製品（ASA SSL VPN、AnyConnect）は、ほぼすべての大規模組織に導入されている。Akiraや他のランサムウェアグループが「MFAのないVPNサービス」を標的にするとき、それはほとんど常にCisco製品を意味する。

2022年のCisco社内侵害：ケーススタディ

2022年5月、Cisco自身が侵害された。皮肉なことに、その手口は後に顧客を苦しめることになるアイデンティティベース攻撃の典型例だった。

攻撃者：

• UNC2447サイバー犯罪ギャング
• Lapsus$脅威アクターグループ
• Yanluowangランサムウェアオペレーター

攻撃ベクター：

1. 攻撃者がCisco従業員の個人用Googleアカウントを掌握
2. 従業員はブラウザに保存した業務用認証情報をGoogleと同期していた
3. 攻撃者は高度なボイスフィッシング（vishing）を実施
4. 「信頼できる組織」を装って従業員を欺く
5. MFAプッシュ通知疲労攻撃を行う
6. 従業員が最終的にMFAプッシュを承認し、VPNアクセスを許可
7. 攻撃者は正規の認証情報を用いてCiscoの社内ネットワークにアクセス

侵害後の活動：

• Mimikatz、Cobalt Strikeなどの攻撃ツールを用いた権限昇格
• 管理者権限を持つバックドアアカウントの追加
• 永続化メカニズムのインストール
• 認証情報データベースやレジストリへのアクセス
• 痕跡を隠すためのログ削除
• C2サーバーと通信するバックドアペイロードの投下

結果：

• 攻撃者はランサムウェアの展開には失敗
• 2.75GB（3,100ファイル）のデータを流出させることに成功
• Yanluowangが盗んだファイルをダークウェブに公開
• Ciscoによれば、自社製品や顧客データへの影響はなし
• Cisco自身でさえ、自社インフラに対するアイデンティティベース攻撃に苦戦していることを露呈

CiscoのCISA KEV問題：どこまでが許容範囲か？

FortinetがCISAの既知悪用脆弱性（KEV）カタログに20件、SonicWallが14件のCVEを抱える一方で、Ciscoも複数のエントリを持ち、2024〜2025年を通じて新規追加が続いている。

最近のCISA KEVへの追加：

2024年の主な追加

CVE-2024-20353 & CVE-2024-20359（ArcaneDoorキャンペーン）：

• 追加日：2024年4月24日
• 期限：2024年5月1日
• 文脈：国家主体によるスパイ活動キャンペーン
• マルウェア：Line Dancer、Line Runner
• 影響：パッチ適用後も生き残る永続アクセス

CVE-2020-3259（Akiraランサムウェアによる悪用）：

• 追加日：2024年2月
• パッチ提供：2020年5月（KEV追加の4年前！）
• 期限：2024年3月7日
• 文脈：AkiraがこのCVEを特に標的としている
• 攻撃者が古い未パッチ脆弱性を悪用していることを示す

CVE-2023-20269（Akiraによる認証バイパス）：

• 追加日：2024年
• CVSS：5.3
• 文脈：代替パスを用いた認証バイパス
• AkiraがVPNへの初期アクセスに利用

CVE-2024-20439 & CVE-2024-20440（Smart Licensing Utility）：

• 追加日：2025年3月31日
• CVSS：9.8（いずれもクリティカル）
• 期限：2025年4月21日
• 影響：静的な管理者認証情報によるバックドア
• ある研究者は、Ciscoが意図的に作った「バックドア」だと批判
• 2025年1月以降、悪用試行が確認

2025年の主な追加

CVE-2025-20333 & CVE-2025-20362（ArcaneDoor継続）：

• 追加日：2025年9月25日（緊急指令25-03）
• CVSS：9.9および8.1
• 文脈：ArcaneDoorと同一の脅威アクター
• 連邦機関がパッチ適用に失敗
• 48,000台超の機器が依然として脆弱

CVE-2025-20352（Operation Zero Disco）：

• 追加日：2025年10月
• 文脈：SNMPルートキットの展開
• 「disco」パスワードによる嘲笑
• 主要スイッチシリーズに影響

CVE-2020-3580（Akira勧告への追加）：

• CISAのAkira勧告への追加：2025年11月
• CVSS：6.1
• 文脈：Cisco ASA/FTDにおけるXSS
• Akiraが初期アクセスに利用

CVE-2024-37085（Akiraによる認証バイパス）：

• CISAのAkira勧告への追加：2025年11月
• CVSS：8.1
• 文脈：主要な弱点による認証バイパス
• Akiraの武器庫に最近追加された脆弱性

Akiraが悪用するその他のCVE（Cisco以外だが重要）

CVE-2024-40711（Veeam Backup & Replication）：

• AkiraおよびFogランサムウェアが積極的に悪用
• Cisco VPN侵害後の権限昇格に使用
• CISAがランサムウェアキャンペーンでの利用を確認

パターン：なぜCiscoばかりが狙われるのか

1. 普及度＝最大の攻撃面

Ciscoはエンタープライズネットワーキング市場で支配的なシェアを持つ。

• Cisco ASA：ファイアウォール市場の約40％
• Cisco AnyConnect VPN：フォーチュン500企業の大半に導入
• Ciscoスイッチ／ルーター：インターネットインフラのバックボーン
• 政府機関での導入：連邦・州・地方での標準的選択肢

言い換えれば、あらゆるランサムウェアグループや国家主体がCiscoのエクスプロイト開発に投資している。なぜなら、Ciscoを侵害する＝すべてを侵害することに等しいからだ。

2. レガシー機器が今も稼働中

多くの組織がサポート終了（EOL）のCisco機器を使い続けている。

• Cisco ASA 5500-Xシリーズ：各モデルが2025〜2026年にかけてEOL
• Cisco Catalyst 3750G：すでにサポート終了だが、今も稼働中
• 古いファームウェアバージョン：何年も前のコードを運用

KNP Logisticsは未パッチのCisco ASAを運用していた。議会予算局も2024年以降パッチ未適用のCisco ASAを運用していた。このパターンを見抜くのは難しくない。

3. パッチ適用だけでは済まない複雑さ

Cisco機器は、単にパッチを当てればよいというものではない。

• 設定の堅牢化（Smart Install、Guest Shellなどの無効化）
• アクセスコントロールリストの適切な設定
• SNMPコミュニティストリングのローテーション
• TACACS+/RADIUSの適切な実装
• 管理インターフェースのセグメンテーション

現実：多くの組織はパッチを適用した時点で「完了」と見なし、攻撃者に悪用される設定ミスを放置している。

4. MFAギャップ

MFAが広く普及しているにもかかわらず、Cisco VPNの導入では適切なMFAが欠如しているケースが多い。

• レガシーなASA/AnyConnect実装でMFA未導入
• プッシュ通知疲労攻撃（攻撃者がMFAリクエストを連打し、ユーザーが誤って承認するまで続ける）
• SMSベースMFA（SIMスワップに脆弱）
• 適切なRBACなしにチーム間で認証情報を共有

AkiraはMFAのないVPNサービスを明確に標的としているが、実際にはこれは不適切に構成されたCisco VPN導入を意味する。

5. ゼロデイ問題

Cisco製品はゼロデイ開発の魅力的な標的である。

• ArcaneDoorはパッチ公開前のゼロデイを使用
• Operation Zero Discoは新たに発見されたSNMP脆弱性を悪用
• Smart Licensing Utilityには静的認証情報という「バックドア」が存在
• パッチ適用後も残る永続化手法が、対策をすり抜ける

攻撃者がパッチ適用前にアクセスを得ていれば、パッチ済みシステムであっても侵害されたままになり得る。

6. 連邦政府ですら追いつけない

連邦サイバーセキュリティを担うCISAが緊急指令を発出し、その後に連邦機関が適切にパッチを適用できていなかったと判明するのであれば、中小企業に何を期待できるだろうか。

パッチ適用危機：

• 政府閉鎖によりパッチ運用が停止
• 機関が「パッチ適用済み」とマークした機器が実際には未対策
• 48,000台の未パッチのCisco機器がインターネットに晒されたまま
• 中国APTグループは、対策が行われる前に数か月単位で悪用可能

組織が今すぐ取るべき行動

即時対応（今週中）

1. Cisco機器の緊急インベントリ

• すべてのCiscoネットワーク機器を特定：
  • ASAファイアウォール
  • FTDアプライアンス
  • AnyConnect VPN
  • Catalystスイッチ（特に9400、9300、3750G）
  • ルーター
  • Smart Licensing Utilityの導入環境

2. 重大脆弱性アセスメント 自組織の機器と、現在悪用されているCVEを突き合わせる：

• ArcaneDoor：CVE-2024-20353、CVE-2024-20359、CVE-2025-20333、CVE-2025-20362
• Akiraランサムウェア：CVE-2020-3259、CVE-2023-20269、CVE-2020-3580、CVE-2024-37085
• Operation Zero Disco：CVE-2025-20352
• Smart Licensing：CVE-2024-20439、CVE-2024-20440

3. パッチ適用または隔離

• 利用可能なCiscoセキュリティアップデートを即時に適用
• EOL機器：廃止・交換（パッチなし）
• すぐにパッチを当てられない機器：インターネットから隔離
• インターネットに面した管理インターフェースを撤去

4. MFAの強制適用

• すべてのCisco VPNアクセス（ASA、AnyConnect）にMFAを有効化
• フィッシング耐性のあるMFA（FIDO2、ハードウェアトークン）を使用
• SMSベースMFAを廃止
• MFA疲労攻撃への対策を実装

5. 認証情報のローテーション

• Cisco機器上のすべての管理者認証情報をローテーション
• SNMPコミュニティストリングを変更
• TACACS+/RADIUSの共有シークレットを更新
• 機器がインターネットに晒されていた場合、認証情報は侵害されたと想定

短期対応（今月中）

6. 設定の堅牢化 Ciscoのハードニングガイドを参照し、設定を見直す：

• Cisco Smart Install機能を無効化
• Guest Shell（IOS XE）を無効化
• VTYアクセス（管理インターフェース）を制限
• 明示的なdenyログを伴うアクセスコントロールリストを設定
• VTYからの外向き接続を無効化
• 認証情報保存にはType 8（PBKDF2-SHA-256）を使用

7. 検知と監視

• 以下を検知するネットワーク監視ツールを導入：
  • 異常なSNMPトラフィック
  • 機器上でのパケットキャプチャ作成
  • SPAN/ERSPANセッションの定義
  • ネットワーク機器からのFTP/SFTP転送
  • VTYアクセス設定の変更
• ArcaneDoorのインジケータ（Line Dancer、Line Runner）を監視
• 想定外の管理者アカウント作成をアラート

8. インシデント対応準備

• Cisco機器がすでに侵害されている可能性を前提とする
• Ciscoの整合性検証ツールを実行：
  • Cisco Trust Anchor検証
  • ROMMON整合性チェック
  • ファイルシステム監査
• 不審な活動が見つかった場合はフォレンジックチームを招集
• 機器の再構築／交換の可能性を想定して準備

長期戦略

9. アーキテクチャの再設計

• ゼロトラストネットワークアクセス（ZTNA）の導入
• 境界型VPNへの依存を排除
• Software-Defined Perimeter（SDP）の導入
• ネットワークをセグメント化し、横移動を制限
• クラウド提供型セキュリティサービスへの移行を検討

10. ベンダー多様化

• 単一ベンダー（Cisco）への依存度を評価
• 重要インフラにおけるマルチベンダー戦略を検討
• ベンダー専門性とモノカルチャーリスクのバランス
• 現実的な問い：もしAkiraがインフラ全体を武器化しているなら、多様化は賢明ではないか？

11. 脅威インテリジェンス統合 以下を購読し、行動に反映：

• Cisco PSIRT勧告
• CISA KEVカタログの更新
• Akiraなどのグループに関する脅威インテリジェンス
• GreyNoiseのスキャン活動レポート
• Cisco悪用キャンペーンの監視

12. 人材とトレーニング

• Ciscoセキュリティの専門家を採用または外部委託
• 既存スタッフを以下の分野で訓練：
  • Ciscoハードニングのベストプラクティス
  • ネットワーク機器侵害時のインシデント対応
  • ArcaneDoor/AkiraのTTP（戦術・技術・手順）
• Cisco機器侵害シナリオを想定したテーブルトップ演習

13. 取締役会レベルの説明責任 経営陣および取締役会に対して以下を報告：

• 現在のCisco機器インベントリとパッチ状況
• Akiraランサムウェアによる悪用への曝露状況
• 連邦政府のパッチ適用失敗（連邦ですら苦戦している事実）
• 財務的影響：Akiraへの2億4,400万ドル、1億5,800万ドル規模の企業（KNP）の崩壊
• 是正措置、人員、ツールのための十分な予算を要請

不都合な問い

1. あるネットワークベンダーの製品が、2億4,400万ドル規模のランサムウェアオペレーションに特定の標的として扱われている場合、その機器を使い続けることは、どの時点から過失と見なされるのか？

2. CISAの専門知識に直接アクセスできる議会予算局ですらCiscoファイアウォールにパッチを維持できないのであれば、中小企業にそれを期待できるのか？

3. 中国の国家主体が、ファームウェアアップグレードや再起動後もCisco機器上で生き残るマルウェア（Line Runner）を開発している状況で、現実的な是正戦略とは何か？

4. 2024年のサイバーインシデントの60％がアイデンティティベース攻撃であり、Cisco VPNが主要ベクターであるにもかかわらず、なぜいまだに境界型VPNアーキテクチャを導入し続けているのか？

5. 攻撃者が「disco」パスワードを展開し、SNMP経由でCiscoスイッチにユニバーサルアクセスを得られるのであれば、なぜSNMPを有効にしておくことを信頼できるのか？

6. Akiraが攻撃後に被害者へセキュリティチェックリストを提供している事実は、彼らが自分たちのプレイブック（Ciscoの悪用）が今後も無期限に通用すると理解していることの証左ではないのか？

7. 連邦機関が「パッチ適用済み」とマークした機器で、実際には脆弱なソフトウェアが稼働していたのであれば、パッチ管理業界全体について何を物語っているのか？

8. Operation Zero Discoの攻撃者が「disco」というパスワードでCiscoを嘲笑しているのであれば、それはCiscoのセキュリティ慣行に対する深い理解と軽蔑を示しているのではないか？

これらは修辞的な問いではない。侵害後に監査人、規制当局、原告側弁護士があなたに投げかける質問である。

ファイアウォール三社（Cisco、Fortinet、SonicWall）からの教訓

我々はすでに、積極的に悪用されている3つの主要ファイアウォールベンダーを分析してきた。

SonicWall：CISA KEVに14件のCVE、Akiraによる悪用、Marquis侵害（78万8,000人の被害者）

Fortinet：CISA KEVに20件のCVE、Qilin/Mora_001による悪用、医療分野への壊滅的影響

Cisco：CISA KEVに複数のCVE、Akiraの2億4,400万ドルキャンペーン、ArcaneDoorによる国家主体マルウェア

共通点：

1. 3社すべてがランサムウェアグループに積極的に悪用されている
   • SonicWall → Akira、Fog
   • Fortinet → Qilin、Mora_001/SuperBlack
   • Cisco → Akira（主要）、その他複数
2. 3社すべてがパッチ後の永続化問題を抱えている
   • SonicWall → 盗まれた認証情報、OTPシード
   • Fortinet → シンボリックリンクを用いた永続化（14,000台超）
   • Cisco → アップグレード後も生き残るLine Runner、「disco」ルートキット
3. 3社すべてが中国国家主体の標的となっている
   • 複数のAPTグループが3ベンダーすべてを標的
   • ランサムウェアによる金銭化ではなく、長期的なスパイ活動に注力
   • 高度なゼロデイ開発
4. 3社すべてでパッチ適用の大失敗が見られる
   • 組織が何年も前の脆弱なファームウェアを運用
   • 連邦機関ですら適切なパッチ適用に失敗
   • パッチ管理の複雑さが組織の能力を超過
5. 3社すべてがベンダーモノカルチャーを生み出している
   • 組織がインフラ全体を単一ベンダーで構成
   • 境界機器の侵害＝すべての侵害
   • ベンダー固有の専門知識が必要となり、人材プールを制限

違い：

Ciscoは状況がより深刻だ。その普及度のためである。Akiraが「VPNサービスを悪用する」と言うとき、それはCiscoを意味する。議会予算局が侵害されたとき、それはCiscoだった。158年の歴史を持つ企業が脆弱なパスワードで破壊されたとき、それはCisco VPNだった。

Ciscoは単に悪用を受けているファイアウォールベンダーの一つではない。Ciscoこそが、現代インターネットの主要な攻撃面なのだ。

結論：アメリカの重要インフラは、侵害されたCisco機器の上で動いている

証拠は圧倒的である。

• Akiraによる2億4,400万ドルの身代金の大半がCiscoの悪用経由
• 48,000台の未パッチのCisco機器がインターネットに晒されたまま
• 連邦機関自身がCisco機器を安全に保てていない
• 国家主体がLine Runnerなどのインプラントを通じて永続アクセスを確保
• 侵害の60％がアイデンティティ攻撃であり、その主な標的はCisco VPN
• KNP LogisticsはCisco VPN侵害により158年の歴史の末に崩壊
• 議会予算局は未パッチのCiscoファイアウォール経由で侵害

不都合な現実はこうだ。Ciscoの市場支配は、世界の重要インフラにとって単一障害点を生み出しており、高度な脅威アクターはそれを大規模に悪用する方法をすでに確立している。

今もCisco機器を運用している組織（ほぼすべての組織が該当）にとって、今後取るべき道筋は明確だ。

1. Cisco機器はすでに侵害されていると想定し、徹底したフォレンジック分析を実施する
2. 即時にパッチを適用し、パッチが不可能な場合はインターネットから隔離する
3. 多層防御（Defense in Depth）を実装し、Cisco境界機器単独に依存しない
4. VPN依存を排したゼロトラストアーキテクチャへ移行する
5. ベンダー多様化を検討し、モノカルチャーリスクを低減する

CISOや取締役会にとって、KNP Logisticsの事例は記憶に焼き付けるべきだ。158年の歴史、730の雇用が、Cisco VPNの脆弱なパスワード一つで数週間のうちに失われたのである。

次の被害者は「なぜこんなことが起きたのか」とは問わない。「CiscoがAkiraに積極的に悪用されていると分かっていたのに、なぜ行動しなかったのか」と問うことになる。

自組織を、防ぎ得た災害の新たなケーススタディにしてはならない。

Akiraランサムウェアキャンペーン分析：

• The Ransomware-as-a-Service Ecosystem in Late 2025: From LockBit’s Disruption to the Rise of Qilin, Akira, and DragonForce – Akiraの2億4,400万ドルオペレーションに関する包括的分析
• Ransomware Onslaught: Multiple Groups Post Fresh Victims on October 3, 2025 – Akiraの10月キャンペーン、1日で11社を被害に
• The KNP Logistics Ransomware Attack: How One Weak Password Destroyed a 158-Year-Old Company – Cisco VPN経由のAkira攻撃ケーススタディ
• The Ransomware Revolution: How Attack Economics Are Reshaping the Threat Landscape Entering 2026 – 攻撃件数34％増、支払い動向、Akiraの経済モデル

Ciscoの悪用と政府機関侵害：

• Critical Alert: Cybercriminals Actively Exploiting Vulnerabilities in Fortinet, Cisco, VMware, and WatchGuard Systems – ArcaneDoor継続、4万8,000台の未パッチ機器
• The Congressional Budget Office Breach: Why An Active Cyber Threat Against Congress Isn’t Making Headlines – 政府閉鎖中の未パッチCisco経由でのCBO侵害
• NSA/CISA Joint Advisory: Countering China State Actors Compromise of Networks (PDF) – Cisco特化のハードニングガイダンス

並行するファイアウォール悪用分析：

• Marquis Ransomware Breach: SonicWall’s Vulnerability History – CISA KEVに14件のCVEを抱えるSonicWallの分析記事
• Fortinet Under Fire: Healthcare Devastation – CISA KEVに20件のCVEを抱えるFortinetと、Qilinによる医療分野への攻撃に関する記事

アイデンティティベース攻撃のトレンド：

• Cisco Talos 2024 Year in Review – インシデントの60％がアイデンティティ攻撃
• CISA KEVカタログ – Ciscoの既知悪用脆弱性一覧

外部リソース：

• CISA #StopRansomware: Akira Ransomware Advisory – 2025年11月更新
• Cisco ArcaneDoor Response
• Cisco Continued Attacks Advisory
• Known Exploited Vulnerabilities Catalog – CiscoのCVEを検索

本分析は2025年12月時点の情報に基づく。CISA勧告、Cisco PSIRTブリテン、脅威インテリジェンスレポート、および文書化された侵害事例を参照している。組織は、是正戦略についてセキュリティ専門家および法務顧問に相談すべきである。