CiscoファイアウォールにまさかのCVSS 10.0——Interlock ransomwareが1カ月先行で悪用
CVSS 10.0(最大深刻度)、認証不要、リモートからroot権限で任意コード実行——企業ネットワークの「門番」であるはずのCiscoファイアウォール管理システムに、これ以上ないほど致命的な脆弱性が見つかりました。しかも、Ciscoが公式にパッチを提供した3月初旬よりも1カ月以上前の2026年1月26日から、Interlockランサムウェアグループがこのゼロデイを実戦で悪用していたことが判明しています。
CVE-2026-20131として登録されたこの脆弱性は、Cisco Secure Firewall Management Center(FMC)におけるJavaバイトストリームの安全でないデシリアライゼーションに起因します。世界中の企業・政府機関がCisco FMCでファイアウォールを集中管理しているだけに、影響範囲は甚大です。
Cisco Secure Firewall Management Center(FMC)とは
Cisco Secure Firewall Management Center(旧称: Cisco Firepower Management Center)は、Ciscoのファイアウォール製品群を一元管理するための統合管理プラットフォームです。企業は数十〜数千台のファイアウォールをFMCから集中的に制御しており、以下のような機能を提供しています。
- ポリシー管理: ファイアウォールルール、IPS/IDSポリシーの一括設定・配布
- 脅威検知: ネットワークトラフィックのリアルタイム分析とアラート
- イベント管理: セキュリティイベントの集約・可視化・レポート生成
- デバイス管理: 配下のファイアウォールのファームウェア更新、設定バックアップ
FMCはネットワークセキュリティの中枢であり、ここが攻撃者に掌握されるということは、ファイアウォールそのものが無力化されることを意味します。攻撃者はファイアウォールルールを改ざんして内部ネットワークを丸裸にしたり、IDS/IPSを無効化して後続の攻撃を検知不能にすることができます。
CVE-2026-20131の技術詳細——Javaデシリアライゼーション脆弱性
脆弱性の概要
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2026-20131 |
| CVSSスコア | 10.0(Critical / 最大深刻度) |
| 攻撃ベクター | ネットワーク(リモート) |
| 認証要件 | なし(未認証で悪用可能) |
| 影響 | 任意コード実行(root権限) |
| 脆弱性タイプ | 安全でないデシリアライゼーション(CWE-502) |
| 影響製品 | Cisco Secure Firewall Management Center |
Javaデシリアライゼーション攻撃とは
Javaのシリアライゼーションとは、オブジェクトをバイトストリームに変換してネットワーク越しに送受信したり、ファイルに保存する仕組みです。受信側ではObjectInputStreamを使ってバイトストリームをJavaオブジェクトに復元(デシリアライズ)します。
問題は、デシリアライズ時に受信データの検証が不十分だと、攻撃者が悪意のあるオブジェクトを含むバイトストリームを送りつけ、任意のコードを実行できてしまう点です。これは2015年頃から広く認知されている攻撃手法(Apache Commons Collections gadget chainなど)ですが、2026年の今でもエンタープライズ製品に根強く残っている深刻な問題です。
CVE-2026-20131の攻撃メカニズム
今回の脆弱性では、Cisco FMCがネットワーク経由で受信するJavaバイトストリームを、適切な型チェックやホワイトリスト検証なしにデシリアライズしていました。攻撃者は以下の手順で悪用できます。
- 細工したバイトストリームの送信: FMCのリスニングポートに対して、悪意のあるJavaオブジェクトを含むバイトストリームを送信
- 認証バイパス: デシリアライゼーション処理が認証チェックの前に実行されるため、資格情報なしで攻撃が成立
- 任意コード実行: デシリアライズされたオブジェクトのガジェットチェーンにより、サーバー上で任意のJavaコードが実行される
- root権限の取得: FMCプロセスがroot権限で動作しているため、実行されるコードもroot権限を継承
以下の図は、攻撃の全体フローを示しています。
この攻撃の恐ろしい点は、一切の認証が不要ということです。通常、CVSSスコアが10.0に達するには「攻撃がリモートから可能」「認証不要」「機密性・完全性・可用性すべてに完全な影響」という条件が揃う必要があり、CVE-2026-20131はそのすべてを満たしています。
Interlockランサムウェアグループの実態
Interlockとは
Interlockは2024年後半に登場した比較的新しいランサムウェアグループで、二重脅迫型(データ窃取 + 暗号化)の手法を用いることで知られています。他のRaaS(Ransomware-as-a-Service)グループとは異なり、Interlockはアフィリエイトモデルを採用せず、独自に攻撃を実行する「クローズドグループ」として活動しています。
攻撃の特徴
| 特徴 | Interlock | 他の主要ランサムウェア |
|---|---|---|
| 運営形態 | クローズドグループ | RaaS(アフィリエイト制) |
| 初期侵入手法 | ゼロデイ悪用重視 | フィッシング、RDP |
| 脅迫方式 | 二重脅迫(窃取+暗号化) | 二重〜三重脅迫 |
| 標的 | 大企業・政府機関 | 幅広い |
| リークサイト | あり(Tor上) | あり |
| 活動開始 | 2024年後半 | グループにより異なる |
1月26日からのゼロデイ悪用
セキュリティ研究者の分析により、Interlockが2026年1月26日の時点でCVE-2026-20131を実戦に投入していたことが確認されています。Ciscoが正式にパッチを公開した3月初旬までの約5週間、世界中のCisco FMCユーザーはパッチが存在しない状態で攻撃にさらされていました。
この期間中にInterlockが侵害したとされる主な標的には、製造業、医療機関、金融サービスなどの大企業が含まれています。FMCを足がかりにネットワーク内部に侵入し、Active Directoryの掌握、機密データの窃取、そして最終的にはランサムウェアの展開という典型的な攻撃チェーンが実行されました。
CVSSスコア10.0の意味——なぜ最大深刻度なのか
CVSSスコアの最大値は10.0ですが、実際にこのスコアが付与される脆弱性は全体のごくわずかです。CVSSスコアは以下の要素の組み合わせで算出されます。
| CVSS要素 | CVE-2026-20131の評価 | 意味 |
|---|---|---|
| 攻撃ベクター | ネットワーク | リモートから攻撃可能 |
| 攻撃複雑性 | 低 | 特別な条件なしに攻撃可能 |
| 必要な権限 | なし | 認証不要 |
| ユーザー操作 | なし | 被害者の操作不要 |
| 機密性への影響 | 高 | 全データにアクセス可能 |
| 完全性への影響 | 高 | 全データを改ざん可能 |
| 可用性への影響 | 高 | システムを完全に停止可能 |
すべての項目で最も深刻な評価を受けており、文字通り「これ以上悪い脆弱性は存在しえない」レベルです。
以下の図は、2026年Q1に報告されたCVSS 10.0脆弱性のタイムラインを示しています。
2026年に入ってからCVSS 10.0の脆弱性が立て続けに報告されており、特にネットワーク機器(ファイアウォール、VPN、リモートアクセス)に集中している傾向が顕著です。攻撃者がエンタープライズの境界防御を直接狙う戦略にシフトしていることがうかがえます。
過去のCisco重大脆弱性との比較
Ciscoの製品にCVSS 10.0の脆弱性が発見されるのは今回が初めてではありません。過去の主要な事例と比較します。
| CVE | 年 | 製品 | CVSS | 脆弱性タイプ | ゼロデイ悪用 |
|---|---|---|---|---|---|
| CVE-2026-20131 | 2026 | FMC | 10.0 | デシリアライゼーション | あり(Interlock) |
| CVE-2024-20353 | 2024 | ASA/FTD | 8.6 | DoS | あり(ArcaneDoor) |
| CVE-2023-20198 | 2023 | IOS XE | 10.0 | 認証バイパス | あり |
| CVE-2020-3580 | 2020 | ASA | 6.1 | XSS | なし |
注目すべきは、CVSS 10.0クラスの脆弱性にはゼロデイ悪用が伴うケースが多いという点です。攻撃者は深刻な脆弱性を発見すると、ベンダーの対応よりも早く実戦投入する能力を持っています。
緊急対策——今すぐ実施すべきアクション
パッチ適用(最優先)
Ciscoは3月初旬にセキュリティアドバイザリとともに修正パッチを公開しています。影響を受けるすべてのFMCバージョンに対して即座にパッチを適用してください。
影響を受けるバージョン: Cisco Secure Firewall Management Center の特定バージョン(詳細はCisco Security Advisoryを参照)
パッチ適用が即座にできない場合の緩和策
- ネットワークアクセス制限: FMCの管理インターフェースへのアクセスを、信頼できるIPアドレスのみに制限する
- ネットワークセグメンテーション: FMCを管理VLANに隔離し、一般ユーザーネットワークからアクセスできないようにする
- 監視強化: FMCへの異常なネットワーク接続を監視し、不審なJavaバイトストリームの送信を検出するIDS/IPSルールを追加する
侵害の有無を確認する
1月26日以降にFMCへの不審なアクセスがなかったか、以下の観点でログを精査してください。
- FMCの認証ログに不審なエントリがないか
- FMCサーバーから内部ネットワークへの異常な通信がないか
- ファイアウォールポリシーに不正な変更がないか
- FMCサーバー上に不審なプロセスやファイルがないか
侵害の痕跡が見つかった場合は、即座にインシデント対応チームに報告し、影響範囲の特定とフォレンジック調査を開始してください。
日本企業への影響と対策
日本市場でのCisco FMCの普及状況
日本国内ではCiscoは企業向けネットワーク機器のトップシェアを誇り、特に大企業・金融機関・官公庁でのCiscoファイアウォール採用率は非常に高い状況です。FMCで集中管理している組織も多く、今回の脆弱性は日本企業にとっても他人事ではありません。
日本特有のリスク
- パッチ適用の遅延: 日本企業では変更管理プロセスが厳格で、パッチ適用に数週間〜数カ月かかるケースが少なくありません。今回のようなCVSS 10.0の脆弱性に対しては、通常の変更管理フローを迂回する「緊急パッチ適用プロセス」を発動すべきです
- SIer依存: ネットワーク機器の管理をSIerに委託している企業は、SIerからのパッチ適用提案を待つのではなく、自社からCiscoのセキュリティアドバイザリを確認し、能動的にパッチ適用を依頼することが重要です
- IPAの注意喚起: JPCERT/CCやIPAからも注意喚起が出される可能性が高いため、こまめに確認しましょう
根本的なセキュリティ強化
今回の事件を教訓に、ネットワーク機器の管理体制を見直す良い機会です。
- ゼロトラストの導入: ファイアウォールだけに依存せず、内部ネットワークにもマイクロセグメンテーションや多層防御を導入する
- パスワード管理の強化: ネットワーク機器の管理アカウントには強力なパスワードと多要素認証を必ず設定する。1Passwordのようなパスワードマネージャーで管理アカウントの資格情報を安全に管理することも有効です
- VPNセキュリティの確認: リモートアクセスVPNの設定を見直し、NordVPNのような信頼性の高いVPNサービスの利用を個人レベルでも検討しましょう
まとめ——今すぐ取るべき3つのアクション
Cisco FMCのCVE-2026-20131は、CVSS 10.0という最大深刻度に加え、Interlockランサムウェアによる1カ月以上のゼロデイ悪用が確認された極めて深刻な脆弱性です。以下のアクションを今すぐ実施してください。
- 即座にパッチ適用: Cisco Security Advisoryを確認し、影響を受けるFMCに修正パッチを適用する。通常の変更管理フローを待たず、緊急対応として実施する
- 侵害調査の実施: 2026年1月26日以降のFMCログを精査し、不審なアクセスやポリシー変更がないか確認する。侵害の痕跡があればインシデント対応を開始する
- 管理インフラの防御強化: FMCの管理インターフェースへのアクセス制限、ネットワークセグメンテーション、多要素認証の導入など、根本的な管理インフラの防御を見直す
ファイアウォール管理システムという「セキュリティの心臓部」が狙われたこの事件は、境界防御の信頼性に疑問を投げかけています。ゼロトラストアーキテクチャへの移行を含めた、抜本的なセキュリティ戦略の見直しが求められています。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星