### Ciscoの脆弱性に対するゼロデイ悪用 **Amazon** Threat Intelligenceは、**Cisco** Secure Firewall Management Center (FMC) Softwareにおける重大なセキュリティ脆弱性（CVSSスコア: 10.0）である**CVE-2026-20131**を悪用する、現在活動中の**Interlock**ランサムウェアキャンペーンについて警鐘を鳴らしています。この脆弱性は、ユーザー提供のJavaバイトストリームの安全でないデシリアライゼーションに関わるもので、認証されていないリモート攻撃者が認証をバイパスし、影響を受けるデバイス上でroot権限で任意のJavaコードを実行できる可能性があります。 **Amazon**のMadPotグローバルセンサーネットワークからのデータによると、この脆弱性は2026年1月26日からゼロデイとして悪用されており、**Cisco**による公開開示の1ヶ月以上前でした。 「これは単なる脆弱性の悪用ではありませんでした。**Interlock**はゼロデイを手にしていたため、防御側が調査を開始する前に組織を侵害するのに1週間のリードを得ていました。この発見後、私たちは**Cisco**と協力して調査を支援し、顧客を保護しました」と、**Amazon** Integrated Securityの最高情報セキュリティ責任者（CISO）である**CJ Moses**氏は述べています。 ### 運用上のセキュリティミスがInterlockのツールキットを暴露 **Amazon**による発見は、攻撃者による運用上のセキュリティミスによって助けられました。設定ミスのあるインフラストラクチャサーバーがサイバー犯罪グループの運用ツールキットを公開し、多段階攻撃チェーン、カスタムリモートアクセス型トロイの木馬、偵察スクリプト、回避技術に関する洞察を提供しました。 ### 攻撃チェーンと特定されたツール 攻撃チェーンは、任意のJavaコードを実行するために細工されたHTTPリクエストを送信することを含みます。侵害されたシステムは、その後、外部サーバーにHTTP PUTリクエストを発行して、攻撃の成功を確認します。続いて、他の**Interlock**関連ツールをホストするELFバイナリを取得するためのコマンドが送信されます。 特定されたツールには以下が含まれます。 * 包括的なWindows環境の列挙を行うPowerShell偵察スクリプト。 * コマンド・アンド・コントロール、インタラクティブシェルアクセス、コマンド実行、ファイル転送、SOCKS5プロキシ機能を提供する、JavaScriptとJavaで書かれたカスタムリモートアクセス型トロイの木馬。これらはセルフアップデートおよびセルフ削除メカニズムも備えています。 * LinuxサーバーをHTTPリバースプロキシとして設定し、**fail2ban**を提供し、**HAProxy**を使用して攻撃者の出所を隠蔽するBashスクリプト。これにはログ消去ルーチンも含まれています。 * 暗号化されたコマンドペイロードの受信リクエストを検査するためのメモリ常駐型Webシェル。 * コード実行またはネットワークポート到達可能性を検証するための軽量ネットワークビーコン。 * 永続的なリモートアクセス用の**ConnectWise ScreenConnect**。 * オープンソースのメモリフォレンジックフレームワークである**Volatility Framework**。  **Interlock**への関連性は、身代金要求メモやTOR交渉ポータルなどの技術的および運用上の指標に基づいています。攻撃者はUTC+3タイムゾーンで活動している可能性が高いです。 ### 推奨事項 現在活動中の悪用を考慮し、ユーザーは直ちにパッチを適用し、セキュリティ評価を実施し、**ScreenConnect**の展開を確認し、多層防御戦略を実装することが強く推奨されます。 「ここでの本当の話は、単一の脆弱性や単一のランサムウェアグループの話ではありません。それは、ゼロデイ悪用がすべてのセキュリティモデルに課す根本的な課題についての話です」と**Moses**氏は述べています。「攻撃者がパッチが存在する前に脆弱性を悪用する場合、最も勤勉なパッチ適用プログラムでさえ、その重要なウィンドウではあなたを保護できません。」 同氏は、「だからこそ、多層防御が不可欠なのです。レイヤー化されたセキュリティコントロールは、単一のコントロールが失敗した場合、またはまだ展開されていない場合に保護を提供します。迅速なパッチ適用は、脆弱性管理の基盤であり続けますが、多層防御は、悪用とパッチの間のウィンドウ中に組織が無防備にならないように役立ちます。」と強調しました。 ### 進化するランサムウェア戦術 この開示は、**Google**がランサムウェア攻撃者が支払い率の低下により戦術を適応させているという調査結果と一致しています。これには、一般的なVPNやファイアウォールにおける脆弱性を標的とすることや、組み込みのWindows機能への依存度を高めることが含まれます。 複数の脅威クラスターが、マルバタイジングやSEO戦術を使用してマルウェアを配布しています。その他の一般的な手法には、侵害された認証情報、バックドア、初期アクセス用の正規のリモートデスクトップソフトウェア、および偵察、権限昇格、ラテラルムーブメントのための組み込みツールの使用が含まれます。 **Google**は、ランサムウェアが主要な脅威であり続けると予想していますが、利益の減少は、攻撃者がデータ窃盗による恐喝の増加や、フィッシングのための侵害されたインフラストラクチャの使用などの他の収益化方法を模索する可能性があります。 ### Cisco、アドバイザリを更新 **Cisco**は、**CVE-2026-20131**に関するアドバイザリを更新し、現在活動中の悪用を確認し、修正されたソフトウェアリリースへのアップグレードを強く推奨しています。