概要
Interlockランサムウェアグループが、Cisco Secure Firewall Management Center(FMC)ソフトウェアに存在する重大な脆弱性CVE-2026-20131(CVSSスコア: 10.0)を、Ciscoの公式開示より1か月以上前の2026年1月26日からゼロデイとして悪用していたことが明らかになった。Amazon脅威インテリジェンスが2026年3月18日にこの活発なキャンペーンについて公に警告し、その後Ciscoもアドバイザリを更新して悪用の事実を確認した。AmazonのCISOであるCJ Moses氏は「これは単なる脆弱性の悪用ではない。Interlockはゼロデイを手にしており、1週間の先行優位を得ていた」と述べ、パッチが存在しない状態での攻撃に対する防御の困難さを強調した。
脆弱性の技術的詳細
CVE-2026-20131は、Cisco FMCソフトウェアにおけるユーザー提供のJavaバイトストリームの安全でないデシリアライゼーションに起因する脆弱性である。攻撃者は影響を受けるソフトウェアの特定のパスに対して細工されたHTTPリクエストを送信することで、認証なしにリモートから任意のJavaコードをroot権限で実行できる。攻撃の流れとしては、まず悪意のあるHTTPリクエストで任意のJavaコードを実行し、侵害されたシステムが外部サーバーにHTTP PUTリクエストを発行して悪用の成功を確認、その後リモートサーバーからELFバイナリを取得するコマンドが送信される。
Interlockグループの攻撃ツールキット
Interlockグループの運用セキュリティ上のミスにより、誤って設定されたインフラストラクチャサーバーからツールキットの全容が明らかになった。グループはUTC+3のタイムゾーンで活動しており、Windows環境列挙用のPowerShellスクリプト、C2通信・シェルアクセス・ファイル転送・SOCKS5プロキシ機能を備えたカスタムJavaScript/Javaリモートアクセス型トロイの木馬、LinuxサーバーをHTTPリバースプロキシとして構成するBashスクリプト、暗号化コマンド実行用のメモリ常駐型Webシェル、ネットワーク検証用の軽量ビーコン、持続的リモートアクセス用のConnectWise ScreenConnect、メモリフォレンジック用のVolatility Framework、Active Directory証明書サービスの誤設定を悪用するCertifyツールなど、多段階攻撃チェーンを構成する包括的なツールセットを保有していた。
対策と今後の見通し
推奨される対策として、パッチの即時適用、侵害の可能性を特定するためのセキュリティ評価の実施、不正なScreenConnectインストールの確認、多層防御戦略の実装が挙げられている。Moses氏は「パッチが存在する前に攻撃者が脆弱性を悪用する場合、どれほど勤勉なパッチ適用プログラムでもその重要な期間に防御することはできない」と指摘した。今回の事例は、ランサムウェアグループが支払い率の低下に伴い戦術を適応させ、初期アクセスの手段としてVPNやファイアウォールの脆弱性を標的にする傾向が強まっているという業界全体の動向とも一致している。