Cisco FMC のゼロデイ脆弱性 CVE-2026-20131:Interlock ランサムウェアが実環境で悪用

Cisco Firewall 0-day Vulnerability Exploited in the Wild to Deploy Interlock Ransomware

2026/03/18 CyberSecurityNews — Cisco Secure Firewall Management Center (FMC) Software における深刻な脆弱性が、Interlock ランサムウェア・グループの大規模キャンペーンで悪用されている。2026年3月4日の時点で Cisco は、root 権限での任意の Java コード実行を未認証のリモート攻撃者に許す、ゼロデイ脆弱性 CVE-2026-20131 を公表している。しかし、公表の 36日前である 2026年1月26日の時点で、すでに Interlock による悪用が始まっていたことが、Amazon の脅威インテリジェンス・チームの分析により判明した。


つまり、防御側が認識していない状態で、Interlock によるユーザー組織への積極的な侵害が行われていた。Amazon は Cisco の調査を支援するために、これらの知見を同社と共有した。このキャンペーンに、AWS インフラおよび顧客のワークロードは関与していないが、不適切に設定されたインフラ・サーバが Interlock の運用ツールキットを露出していたことで、調査が進展した。

この脅威活動における初期のアクションは、脆弱なソフトウェア・パスに対する HTTP リクエストであり、その中には Java コード実行の試行および埋め込み URL が含まれていた。これらの URL から設定データが配信され、生成されたファイルをアップロードする HTTP PUT リクエストをトリガーすることで、侵害の成立が裏付けられた。

研究者たちは、侵害されたシステムをシミュレートすることで、攻撃者に悪意の Linux ELF バイナリをデプロイさせた。露出したステージング・サーバにより判明したのは、このグループが個々のターゲットごとの専用パスに、アーティファクトを整理していることだった。それにより、ツールのダウンロードと、盗み出した運用データのアップロードが効率化されていた。

Cisco Firewall ゼロデイ脆弱性の悪用

技術的指標が強く示唆するのは、2024年9月に出現した金銭目的の Interlock ランサムウェア・ファミリーとの接点である。回収された ELF バイナリ/埋め込まれた身代金要求メッセージ/TOR 交渉ポータルは、既知の Interlock のブランドと一致する。彼らの身代金要求は、被害者への圧力を最大化するために、規制リスクや当局へのデータ暴露について強く言及するという特徴があり、既知の二重恐喝モデルと一致する。

Amazon 脅威インテリジェンス・チームによるタイムスタンプ分析によると、攻撃者は UTC+3 タイムゾーンで活動していることが示唆される。従来の Interlock が標的としていたのは、運用停止により即時支払いが強制されるセクターであり、具体的には教育/建設/製造/医療/政府機関/エンジニアリングなどが挙げられる。

アクセスを獲得した後の Interlock は、権限昇格と永続化維持のための高度なツールキットを展開する。回収された PowerShell スクリプトは Windows 環境の広範情報を列挙し、システム詳細/ブラウザ・アーティファクト/ネットワーク接続などを収集する。このスクリプトは、各ホストごとの専用ディレクトリへ結果を整理し、ZIP アーカイブへ圧縮する。そこから示唆されるのは、組織全体に対する暗号化の準備である。

このグループは、JavaScript および Java の両方で実装されたカスタム RAT を使用する。JavaScript インプラントは Windows Management Instrumentation (WMI) を用いてプロファイリングを行い、RC4 で暗号化されたメッセージによる永続的な WebSocket 接続を確立する。これにより、対話型シェル・アクセス/ファイル転送/SOCKS5 プロキシ機能などが提供される。GlassFish ライブラリ上に構築された、同一の機能を持つ Java バックドアにより、アクセスの冗長性が確保される。

この攻撃者は痕跡を隠蔽するために、Linux サーバを HTTP リバース・プロキシとして設定する Bash スクリプトを展開する。このスクリプトは、HAProxy をインストールしてトラフィックを転送し、5 分ごとにログを削除する。さらに、メモリ常駐型のファイルレス Java WebShell は、ハードコードされたシードを用いて HTTP リクエストをインターセプトし、その中に含まれる AES-128 で暗号化されたコマンドを受信する。

Interlock は、独自のマルウェアに加えて、正規ツールである ConnectWise ScreenConnect/Volatility (メモリ・フォレンジック用)/Certify (Active Directory 悪用目的) なども悪用する。

Cisco Secure Firewall Management Center を実行している組織にとって必要なことは、最新のセキュリティ・パッチを直ちに適用することである。この攻撃者は、各ターゲット・ネットワークごとにダウンロードされるアーティファクトを高度にカスタマイズしているため、シグネチャ・ベース検知における従来のファイル・ハッシュは信頼できないと判断すべきだ。その代わりに、防御側が注力すべきは、挙動パターンやメモリ常駐の異常といった、Interlock の多層的な攻撃チェーンに関連する、ネットワーク偵察手法の特定である。

訳者後書:今回のインシデントにおける侵入経路は、Cisco Secure Firewall Management Center (FMC) における深刻なゼロデイ脆弱性 CVE-2026-20131 の悪用によるものです。この問題の原因は、認証を受けていないリモートの攻撃者が、最高権限である root 権限で任意の Java コードを実行できてしまうという、ソフトウェア上の不備にあります。攻撃グループが使用するインフラ・サーバの設定に不適切な箇所があったことで、彼らの高度な運用ツールキットが露出し、実態の解明へとつながりました。この脆弱性は CISA KEV にも登録され、Date Added: 2026-03-19/Due Date: 2026-03-22 という、きわめて厳しい期限が設定されています。ご利用のチームは、ご注意ください。よろしければ、Cisco での検索結果も、ご参照ください。