FIRESTARTERとは何か
FIRESTARTER は、Cisco の ASA(Adaptive Security Appliance)ソフトウェアおよび Firepower Threat Defense(FTD)が動作するファイアウォールデバイスに感染するバックドアマルウェアである。2026年4月、米国 CISA(サイバーセキュリティ・インフラセキュリティ庁)と英国 NCSC(国家サイバーセキュリティセンター)が共同分析レポート AR26-113A を公開し、世界的に注目を集めた。
このマルウェアが特に危険視される理由は、パッチを適用してもデバイス上に残存し続けるという特性にある。通常、脆弱性を修正するファームウェアアップデートを適用すれば攻撃者は締め出せるはずである。しかし FIRESTARTER は再起動シグナルをインターセプトして自己再起動し、ファームウェアアップデートを経ても生き延びる。唯一の駆除手段は、物理的な電源切断(ハードパワーサイクル)だけである。
何が起きたのか
CISA は継続的な監視の中で、米国連邦民間行政府(FCEB)機関が保有する Cisco Firepower デバイスで不審な通信を検出した。機関の担当者と連携して検証を進めた結果、デバイス上に FIRESTARTER マルウェアが存在することを確認した。
攻撃者はまず CVE-2025-20333(Missing Authorization、CVSS 9.9)または CVE-2025-20362(Classic Buffer Overflow)を悪用して初期アクセスを取得した。その後、ポストエクスプロイトインプラントとして LINE VIPER を展開し、続いて永続化用のバックドアとして FIRESTARTER を設置するという二段構えの攻撃チェーンが確認された。
| CVE | 種別 | CVSS | 内容 |
|---|---|---|---|
| CVE-2025-20333 | Missing Authorization | 9.9 | 認可チェックの欠落により、認証なしに管理機能へアクセスできる |
| CVE-2025-20362 | Classic Buffer Overflow | 未公表 | バッファオーバーフローを悪用したコード実行 |
FIRESTARTERの技術的な仕組み
パッチ後も生き残る永続化の仕組み
FIRESTARTER が危険なのは、OSの通常の終了・再起動シグナル(SIGTERM 等)をインターセプトして自己再起動する点にある。これにより:
- ソフトウェア再起動(リブート)では除去できない
- Cisco 公式のファームウェアアップデートを適用しても残存する
- 攻撃者は脆弱性を再悪用せずに侵害済みデバイスへ戻れる
CISA の報告によれば、物理的な電源切断(コンセントを抜く、UPS 経由でのハードオフ)だけが FIRESTARTER を完全に除去できる唯一の手段である。ソフトウェアコマンドによる再起動(reload コマンド等)は効果がない。
LINE VIPER → FIRESTARTER のチェーン
今回の攻撃は単体のマルウェアではなく、2段階の植え付けが確認されている。
- 初期アクセス取得: CVE-2025-20333 または CVE-2025-20362 を悪用してデバイスに侵入する。
- LINE VIPER 設置: ポストエクスプロイトインプラントとして LINE VIPER を展開し、コマンド実行・偵察を行う。
- FIRESTARTER 設置: 長期的な永続アクセスを確保するため FIRESTARTER バックドアを設置する。これにより、LINE VIPER を除去されても侵害が継続する。
このような多層的なインプラント構成は、高度な国家系攻撃者(APT)に典型的な手口である。一つのインプラントが検出・除去されても、もう一方で足場を維持するという冗長化戦略だ。
なぜファイアウォールが狙われるのか
ファイアウォールは組織のインターネット境界に位置し、エンドポイント向けの EDR(エンドポイント検出・対応)が導入されていないことが多い。侵害されても検知が遅れやすく、かつ内部ネットワークへのアクセス経路として価値が高い。攻撃者の視点では「高価値・低検知リスク」の標的である。
また、ネットワーク機器は一般のサーバーと異なり「パッチを当てたら終わり」という管理意識が生まれやすい。FIRESTARTER はまさにその盲点を突いた。
日本企業への影響
Cisco ASA および Firepower は、日本の官公庁・金融機関・製造業・通信事業者など幅広い組織で採用されているファイアウォール製品である。今回の標的は米連邦政府機関だが、同じ CVE が日本国内のデバイスにも適用可能であることは間違いない。
特に懸念されるのは以下の点である:
- パッチ適用済みを「安全」と誤認するリスク: CVE-2025-20333 のパッチを適用していても、パッチ以前に感染していれば FIRESTARTER は除去されていない可能性がある。
- ネットワーク機器の監視不足: 多くの組織では EDR をサーバーやPC に導入しているが、ネットワーク機器には同等の監視ツールがない。FIRESTARTER が静かに稼働し続けても気づかない可能性がある。
- 重要インフラへの波及: 電力・水道・交通・医療など重要インフラでは Cisco 機器が基盤ネットワークを支えており、侵害は社会的影響に直結する。
CISA/NCSC の共同勧告は米英向けだが、日本の NISC(内閣サイバーセキュリティセンター)も類似の警告を発しており、日本企業は他人事として扱えない。
今すぐ確認すべきポイント
1. 影響を受ける CVE のパッチ状況を確認する
CVE-2025-20333 および CVE-2025-20362 の修正バージョンを Cisco Security Advisory で確認し、適用済みかどうかをチェックする。まだ未適用であれば最優先で対応する。
2. パッチ適用だけでは不十分な場合を見極める
パッチ適用前の期間にデバイスがインターネットに公開されていた場合、FIRESTARTER がすでに設置されている可能性がある。以下の兆候がないか確認する:
- デバイスから外部への予期しない通信(C2 通信)
- 認証ログに記録されていない管理アクセス
- 設定ファイルの予期しない変更
- 通常と異なるプロセスやメモリ使用量
3. CISA 提供の YARA ルールでスキャンする
CISA は分析レポート AR26-113A とともに YARA ルールを公開している。Cisco デバイスのディスクイメージまたはコアダンプに対してこの YARA ルールを実行し、FIRESTARTER の痕跡がないか確認する。Cisco 機器のフォレンジックは専門知識が必要なため、疑わしい場合は Cisco TAC または外部セキュリティ会社に支援を依頼する。
4. 感染が確認された場合はハードパワーサイクルを実施する
FIRESTARTER が検出された場合、ソフトウェアによる再起動では除去できない。物理的に電源ケーブルを抜いてデバイスを完全に停止させ、電源を入れ直す。その後、クリーンなファームウェアを再インストールして設定を復元する。
# Cisco デバイス上で設定バックアップを取得してから実施
show running-config
# 電源切断後、クリーンなイメージで再起動
# Cisco ROMMON モードからイメージ再インストール5. 管理インターフェースをインターネットから切り離す
Cisco ASA / Firepower の管理インターフェースは、インターネットから直接アクセスできない構成にする。管理アクセスは専用の管理ネットワーク(OOB: Out-of-Band)または VPN 経由に限定し、不要な管理プロトコル(HTTPS、SSH)の公開ポートを閉じる。
6. ネットワーク機器の定期的なインテグリティ検証を導入する
ネットワーク機器にも「設定の基準値(ベースライン)」を設け、定期的に現在の状態と比較する運用を導入する。Cisco には Cisco Secure Device Onboarding(SDO)や Network Device Integrity(NDI)機能があり、ファームウェアとコンフィグの改ざん検出に活用できる。
「パッチ = 安全」という思い込みを見直す
FIRESTARTER が突きつけた最も重要な教訓は、パッチ適用はインシデント対応の完了ではなく、始まりにすぎないということである。
パッチが公開される前の「ゼロデイ期間」に侵害されたデバイスには、パッチを当てても攻撃者が残り続ける。「パッチを当てたから安全」という判断は、侵害前提の調査(Assume Breach)の観点が欠けている。
同様の問題は SharePoint の MachineKey 窃取(ToolShell)でも見られた。パッチだけでは不十分で、鍵のローテーションや侵害調査が必要だった。ネットワーク機器では、それがハードパワーサイクルとフォレンジックに相当する。
セキュリティ担当者は「このデバイスはパッチ済みか」だけでなく、「パッチ公開前から侵害されていた可能性はないか」という問いを常に持つことが重要だ。
参考情報
- CISA: FIRESTARTER Backdoor Analysis Report (AR26-113A)
- The Hacker News: FIRESTARTER Backdoor Hit Federal Cisco Firepower Device, Survives Security Patches
- SecurityAffairs: CISA reports persistent FIRESTARTER backdoor on Cisco ASA device in federal network
- Help Net Security: New Cisco firewall malware can only be killed by pulling the plug
- The Register: CISA, NCSC issue Firestarter backdoor warning