この指令は、ベンダーのパッチ提供が終了したファイアウォール、ルーター、VPNを対象とする。国家主体の攻撃者が戦術をエンドポイントからインフラへと移す中での対応だ。
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、連邦機関に対し、サポート終了(end-of-support)のエッジデバイスをネットワークからすべて撤去するまでに18カ月の猶予を与えた。これは、攻撃者がエンドポイントではなくネットワークインフラを悪用するという、国家主体の攻撃戦術における根本的な変化だとセキュリティ研究者が指摘する状況を受け、対応を強化するものだ。
拘束力のある運用指令であるBOD 26-02は、連邦文民行政部門(FCEB)の各機関に対し、可能な場合は更新を行い、最終的には、ベンダーのセキュリティパッチ提供が終了したファイアウォール、ルーター、VPNゲートウェイ、ロードバランサー、ネットワークセキュリティアプライアンスを置き換えることを求めている。CISAは、これらのサポート対象外デバイスによる脅威は「重大かつ恒常的」だと警告した。
「サポート対象外のデバイスは連邦システムに深刻なリスクをもたらし、企業ネットワーク上に残してはならない」と、CISAのマドゥ・ゴットゥムッカラ暫定局長は指令の中で述べた。
この指令は、FCEB各機関に対し、可能な場合には、旧式ソフトウェアを実行しているエッジデバイスを直ちにベンダーがサポートするバージョンへ更新することを求めている。 3カ月以内に、各機関はCISAのEOS Edge Device Listを用いてサポート終了デバイスをすべて棚卸しし、結果を報告しなければならない。12カ月以内に、各機関はサポート終了日に達したデバイスの撤去を開始しなければならない。18カ月の期限までに、サポート対象外のエッジデバイスはすべて恒久的に撤去し、置き換えることが求められる。
なぜエッジデバイスが主要な標的になったのか
「エッジデバイスは、サポート終了であることが多く、カスタム品で、OEMで、プロセス依存でもあるため、従来のIT資産とは根本的に異なります」と、ガートナーのディレクター・アナリストであるアビナシュ・デブ・ナグマンツリ氏はCSOに語った。「そのため、稼働を維持しつつ、限られた予算の中で発見、パッチ適用、置き換えを行うのが難しくなります。」
ネットワークのエッジデバイスは、国家関与のサイバー諜報グループやランサムウェア集団にとって、初期侵入ベクターの上位の一つとなっている。調査ではエッジデバイス悪用の劇的な増加が示されており、ネットワークエッジの脆弱性は悪用活動が8倍に増加している。2025年版 Mandiant M-Trendsレポートでは、ランサムウェア攻撃の21%で、脆弱性の悪用が初期侵入ベクターとして用いられていたことが示された。
CISAは、Cisco、Fortinet、Palo Alto Networks、Ivanti、Juniperなどのベンダーのデバイスを標的とする国家主体のキャンペーンを文書化している。同庁は、これらのデバイスがネットワーク境界に位置すること、ID管理システムと統合されていること、横展開のための特権アクセスを持つことから、魅力的な標的になっていると指摘した。ひとたび侵害されると、脅威アクターはネットワークトラフィックを傍受し、認証情報を収集し、機密データを持ち出しながら、従来のエンドポイント検知を回避できる。
ナグマンツリ氏は、重要インフラを保護するエッジデバイスが侵害されると物理的な影響が生じ得て、水道や交通などの分野にある高価値システムを危険にさらす可能性があると指摘した。「国家主体の攻撃者は、インフラへの侵入口としてエッジデバイスをますます悪用しており、重要な民間部門の運用を脅かしています。」
この指令は、直近の2件の緊急指令に続くものだ。9月には、脅威アクターがCisco Adaptive Security Appliancesのゼロデイ脆弱性を悪用し、再起動後も残存する永続的マルウェアを展開したことを受け、CISAは緊急指令25-03を発出した。10月には、攻撃者がF5 Networksの開発環境を侵害し、BIG-IPのソースコードを持ち出したことを受け、別の緊急指令が続いた。
実装上の障壁
Beagle Securityのアドバイザーであるスニル・ヴァーキー氏は、実装の複雑さを警告する。「レガシーシステムを撤去するという運用上の現実は単純ではありません」とヴァーキー氏は述べた。「レガシーデバイスが存在し続けるのは設計上の理由ではなく、必要に迫られてのことです。」
同氏は、ワークフローに組み込まれ稼働し続けているにもかかわらず明確な所有者がいない孤立したシステムや、新しいハードウェア/ソフトウェアのバージョンが入手できない、互換性がない、または認証されていない運用技術(OT)環境を挙げた。このプロセスには、資産の発見、リスク評価、調達、構成の再設計、データ移行、テスト、そしてサービス中断を避けるための管理された切り替えが必要となる。
「一般的な課題は、『孤児化』または『ゴースト』システムの存在でしょう。つまり、稼働していてワークフローに組み込まれているのに、もはや明確な所有者がいないデバイスです」とヴァーキー氏は述べた。「こうしたシステムは、誰もその機能を完全には理解していない場合でも、『これまでずっと動いてきた』という理由で残りがちです。」
民間部門への影響
この指令は連邦の文民機関のみに適用されるが、CISAは民間部門の組織にも同様の対策を採用するよう強く促している。連邦ネットワークを標的とする悪用キャンペーンは、重要インフラや商業企業に対しても同等のリスクをもたらす。
ナグマンツリ氏は、組織がエッジおよびサイバーフィジカルシステムをTier-0資産として扱い、強力な認証を強制し、ネットワークセグメンテーションを実装し、ベンダーがサポートするファームウェア更新を必須とし、ログを集中管理して被害範囲(blast radius)を抑えることを推奨した。民間部門に対しては、セキュア・バイ・デザインのハードウェア、継続的な監視、ロールバック機能を備えた制御された更新による、構造化されたライフサイクル管理を提唱した。
ヴァーキー氏は、この指令をコンプライアンスを超えた近代化の触媒と捉えた。「短期的な影響は厳しいものになるでしょうが、結果として、より安全で、説明責任が明確で、防御可能なインフラになります。これは、今日の脅威の現実と、明日の運用ニーズの双方により適合したものです。」
