Cisco FMC CVE-2026-20131 ─ パッチ前のランサムウェア悪用

ランサムウェアが「未公開の脆弱性」を武器にする時代

2026年1月26日、Ciscoがまだ知らなかった脆弱性をすでに悪用しているグループがいた。

Cisco Secure Firewall Management Center（FMC）の管理インターフェースに存在するCVE-2026-20131──最大値であるCVSSスコア 10.0 が割り当てられたこの脆弱性は、Ciscoが公式にパッチを公開する36日前から、Interlockランサムウェアグループによってゼロデイとして積極的に悪用されていた。Amazonのセキュリティチーム「MadPot」が観測した一連の攻撃は、現代のランサムウェアエコシステムが「脆弱性ブローカー」と深く連携し、未公開の0-dayをいち早く手に入れて企業インフラを侵害するモデルへと進化したことを改めて証明した。

CVE-2026-20131 の基本情報

製品: Cisco Secure Firewall Management Center（FMC）Software
脆弱性タイプ: Javaデシリアライゼーション（安全でないユーザー供給バイトストリームの非直列化）
CVSS スコア: 10.0（Maximum Severity）
攻撃条件: 認証不要・リモートから悪用可能
影響: root権限でのOSコマンド実行・完全な管理権の奪取
Cisco公開日: 2026年3月4日
野生での悪用開始: 2026年1月26日（公開36日前）
CISA KEV追加: 2026年3月5日

FMCを狙う理由 ─ 「指揮センター」の価値

なぜInterlockはFMCを狙うのか。

FMC（Firewall Management Center）は、企業ネットワーク全体に展開されたCisco Secure Firewall（旧Firepower）デバイスを一元管理するコントロールプレーンだ。FMCには次の情報が集積されている。

ネットワーク全体のファイアウォールポリシー ─ どのIPが何を許可・拒否するかの完全なマップ
侵入検知（IDS/IPS）のシグネチャ設定 ─ 攻撃者は自分のマルウェアを検知から除外できる
VPN設定と認証情報 ─ リモートアクセスの制御
ネットワークトポロジ情報 ─ 横展開先の地図

FMCを掌握した攻撃者は、事実上「ネットワーク管理者のふりをする攻撃者」になれる。組織全体のファイアウォールに都合の良いルールを追加し、マルウェアの通信を検知から隠蔽し、横展開の先にあるサーバーへの道を自ら開けることができる。

攻撃の仕組み ─ Javaデシリアライゼーションの古い傷口

CVE-2026-20131は、FMCのWebベース管理インターフェースに対して、未認証の攻撃者が細工したシリアライズ済みJavaオブジェクトを送り込むことで任意コードを実行できる、Javaデシリアライゼーション脆弱性だ。

Javaのシリアライゼーションは、オブジェクトをバイト列に変換してネットワーク越しに送受信する仕組みだ。問題は、受信側がそのバイト列を「復元（デシリアライズ）」する際に、データの内容を安全かどうか検証せずそのまま実行処理する実装が長年にわたって広く存在してきた点にある。2015年に研究者のFoxGloveSecurity（ChrisFreeman氏ら）が公表した”Java Deserialization RCE”は現在も変形を変えながら生き続けている。

Amazonのスレットインテリジェンスチームが観測した攻撃のHTTPリクエストは、FMC管理インターフェースの特定のエンドポイントに向けられており、リクエストボディにはJavaのコード実行を試みる細工が埋め込まれていた。成功した場合、システムは以下の動作を順番に実行する。

外部URLからELFバイナリ（Linuxの実行ファイル）をダウンロードする
ELFバイナリを実行 ─ このバイナリは多数のペイロードを内包している
Windows環境の偵察用PowerShellスクリプトを展開する
カスタムJavaScriptおよびJavaベースのリモートアクセスツール（RAT）をインストールする
Linuxサーバー上にHTTPリバースプロキシを構築し、コマンド＆コントロール（C2）の中継点として機能させる

Interlockの戦術と最終目標

Interlockは2024年後半に出現したランサムウェアグループで、他の大規模グループとは異なり二重脅迫（データ窃取＋暗号化） だけでなく、三重脅迫（取引先・顧客への直接通知） も採用している。FMCへの侵入はその第一段階に過ぎない。

観測された攻撃のフローは概ね次の通りだ。

[FMC侵害]
  → FMCポリシー改ざん（自分のC2通信を許可リストへ追加）
  → 横展開（FMCが管理するFirepowerセンサー経由でネットワーク全体を把握）
  → 認証情報ダンプ（Active Directory等）
  → 重要データの外部流出（平均 2.3TB）
  → ランサムウェア展開（ファイル暗号化）
  → 身代金要求と漏洩サイトへの公開予告

ランサムウェア展開前の「足跡」を見逃さない

FMCが侵害された場合、以下の異常なサインが先行することが多い。

FMCのアクセスログに見覚えのないIPからのAPIアクセス
ファイアウォールポリシーへの予期しない変更（特に外向きTCP/443/8443の許可追加）
FMCからの不審な外部HTTP/HTTPSリクエスト（C2への通信）
Active Directoryの大規模な認証イベント（横展開の痕跡）

SIEM相関ルールにFMC管理インターフェースへの認証失敗・成功イベントを組み込み、異常なアクセスパターンを即座に検知する体制が不可欠だ。

なぜパッチ公開の36日前から悪用できたのか

この問いへの答えは、脆弱性の流通経路の変化にある。

Javaデシリアライゼーション系の脆弱性は、発見から悪用ツールの開発まで技術的なハードルが存在する。それでもInterlockがCiscoの公開より36日も早く実用的なエクスプロイトを持っていた事実は、民間の脆弱性リサーチャーまたはブローカーからゼロデイを調達したことを強く示唆する。

VulnCheckの調査（2025年）によれば、ランサムウェアオペレーターが0-dayを使うケースは2020年比で3.7倍に増加している。かつては国家支援APTグループの専売特許だった0-day悪用が、金銭目的のランサムウェアグループにも普及しつつある。

即時対応と恒久的防御策

今すぐ実施すること（FMC管理者向け）

Cisco Security Advisory に示された修正版へのアップデートを最優先で適用する
FMCの管理インターフェースへのアクセスを厳格に制限する（インターネット公開は論外、内部でも専用の管理VLANからのみ許可する）
FMCのアクセスログを即座にレビューし、2026年1月26日以降の不審なアクセスがないか確認する

中長期的な防御

ネットワーク管理基盤（NMS）の侵害は、防御と攻撃の非対称性が最も顕著な領域だ。FMCのような中央管理システムは攻撃者にとって最高価値の標的であることを前提に、以下の原則を適用する必要がある。

管理プレーンの隔離: ネットワーク機器の管理インターフェースは専用のアウトオブバンド（OOB）ネットワークに閉じ込め、本番トラフィックと混在させない
ゼロトラストアクセス: FMCにアクセスできる管理者端末はIDPによる継続的認証と端末ヘルスチェックを必須とする
変更監査の自動化: ファイアウォールポリシーのいかなる変更も自動的にアラートが上がる監視体制を構築する

CVE-2026-20131が私たちに突きつけているのは、「ネットワーク機器の管理インターフェースは本番サービスと同等以上のセキュリティ水準が必要だ」という原則だ。

参考情報

Cisco Security Advisory: cisco-sa-fmc-rce-bA8BnRge
Amazon AWS Security Blog: Interlock ransomware campaign targeting enterprise firewalls
Help Net Security: Cisco FMC flaw was exploited by Interlock weeks before patch
CISA KEV Catalog: CVE-2026-20131

CVSS 10.0の悪夢 ─ Cisco FMCゼロデイCVE-2026-20131をInterlockランサムウェアがパッチの36日前から悪用