【セキュリティニュース】2026年4月29日号|CISA・NCSCがCisco ASA/Firepower狙う「FIRESTARTER」警告/IPA第1四半期で偽警告相談1.5倍/山一電機フィリピン子会社でランサム被害

2026年4月29日 最終更新日時 : 2026年4月29日 secure

セキュリティニュース
2026年4月29日
編集部

【セキュリティニュース】2026年4月29日号|CISA・NCSCがCisco ASA/Firepower狙う『FIRESTARTER』警告/IPA第1四半期で偽警告相談1.5倍/山一電機フィリピン子会社でランサム被害

ゴールデンウィーク初日の本日、攻撃面の異なる3つの動きが連続して表面化しました。米CISAと英NCSCはCisco ASA/Firepowerに居座る常駐型バックドア「FIRESTARTER」について4月23日に共同警告を発出、再起動とパッチ適用後も残存する点が異常です。IPAは第1四半期の相談集計を4月28日に公開し、サポート詐欺など偽警告相談が前期比約1.5倍に膨らみました。山一電機はフィリピン子会社Priconでのランサム被害を4月22日に公表。連休前に「境界機器の侵害確認」「従業員の偽警告対応訓練」「海外子会社のIRフロー確認」を済ませておくべきタイミングです。

NEWS 01
米CISA/英NCSC | 2026年4月23日

CISA・NCSCがCisco ASA/Firepowerを標的とする常駐型バックドア「FIRESTARTER」を緊急警告——再起動・パッチでも除去不能、ハード電源断のみが有効

米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)と英国家サイバーセキュリティセンター(NCSC)は2026年4月23日、Cisco ASA/Firepower/Secure Firewall製品に潜むバックドア型マルウェア「FIRESTARTER」(CISA分析レポート AR26-113A)に関する合同警告を発出しました。発見の発端は米連邦政府機関のCisco Firepower装置で異常通信が検知された事案で、調査の結果、攻撃者は2026年3月時点でも侵害を継続していたとされます。

FIRESTARTERは、ASAソフトウェアのネットワーク処理エンジン「LINA」にフックを仕込み、攻撃者が任意のシェルコードを実行できる状態を保持します。最大の特徴は、装置の再起動・ファームウェアアップデート・セキュリティパッチ適用といった通常の対処では除去できず、装置の電源を物理的に切断するハードリブートでのみメモリ上の常駐機構を消去できるスです。Ciscoの脅威分析部門Talosは、攻撃者を「UAT-4356」として追跡しており、2024年に話題となった「ArcaneDoor」キャンペーンと同じグループに帰属させています。

侵入の起点は、過去に修正されたCVE-2025-20333(任意コード実行)とCVE-2025-20362(認証バイパス)の悪用で、未パッチの装置が狙われています。CISAは「FIRESTARTERは未公開の脆弱性を使うものではなく、既知のn-day脆弱性が踏み台になっている」と整理しており、パッチ未適用のCisco ASA/Firepowerをインターネットに露出している組織は早急な点検が必要です。

FIRESTARTERの主な特徴

0

(

項目 内容
対象装置 Cisco ASA/Firepower Threat Defense(FTD)/Secure Firewall
侵入経路 CVE-2025-20333/CVE-2025-20362(既知パッチ済みの脆弱性)の悪用
常駐機構 LINAエンジンへのフック挿入、終了されても自動再起動
除去方法 装置の電源を物理的に切断する「ハードリブート」のみ有効
帰属 UAT-4356(Cisco Talosが追跡。ArcaneDoorキャンペーンと同一グループ)
確認された侵害 米連邦政府機関のCisco Firepower装置(ASAソフト稼働)で実際に確認
▌中小企業への影響

本事案で名指しされた製品は大企業向けの上位機種というイメージが強いものの、Cisco ASA/FTD/Secure Firewallは国内の中堅・中小企業の本社拠点や製造拠点でも採用例があります。とくに「以前情シスが導入してそのまま使い続けている」「保守ベンダー任せでパッチ適用状況を把握していない」装置は、CVE-2025-20333/20362が未適用のまま残っている可能性があります。検出を回避する常駐型バックドアは、侵害から数か月にわたって発見されない事例が国内外で続いており、「ファイアウォールの中に攻撃者が住み着いている」前提で点検しなければなりません。

▌推奨対応
  • Cisco ASA/FTD/Secure Firewallを使用している場合、CVE-2025-20333/20362のパッチ適用状況を確認する(未適用なら最優先で適用)
  • Cisco公式アドバイスリ(cisco-sa-asaftd-asaie-rce-AQwEMTrA他)とCISAレポート AR26-113Aに記載のIOC(侵害指標)で装置をスキャンする
  • 管理インターフェイスをインターネットに露出していないか確認し、公開している場合はVPN/許可IPに制限する
  • 侵害の疑いがある装置は、ソフトリブートではなく電源断(コンセント抜去)でのハードリブートを実施する
  • 装置のログを外部のSIEM/Syslogサーバに長期保存し、機器内ログだけに依存しない構成に切り替える
  • 保守ベンダー任せの場合、点検結果と適用済みパッチの一覧を文書で受領しておく

NEWS 02
独立行政法人 情報処理推進機構(IPA) | 2026年4月28日

IPA「2026年第1四半期 相談状況」公表——個人窓口で健警告相談が前期比約1.5倍、法人窓口でに『経営層なりすまし詐欺メール』が92件

IPAは2026年4月28日、情報セキュリティ安心相談窓口(個人向け)とサイバーセキュリティ相談窓口(法人向け)の2026年第1四半期(1〜3月)相談集計を公開しました。個人向け窓口の相談は計3,533件で、なかでも偽のセキュリティ警告に関する相談が1,154件(全体の32.7%)と最多。前期(2025年第4四半期)の789件から1,154件へと約46.3%増、約1.5倍に拡大したことが明らかになっています。

偽警告相談の実態は、いわゆる「サポート詐欺」型の攻撃です。Webブラウザの広告枠やSEOポイズニング経由で「ウイルスに感染しました」「マイクロソフトに連絡してください」といった偽の警告を表示し、フリーダイヤルへの架電を誘導。電話口で遠隔操作ソフトを導入させ、ネットバンキング画面を表示させながら不安を煽り、最終的にプリペイドカードや振込で金銭を窃取する手口が中心です。IPAは「画面に表示された電話番号には絶対に連絡しない」「ブラウザの強制終了で画面を閉じる」ことを呼びかけています。

法人向け窓口の相談は計283件で、前期比約26.3%増。なかでも「経営層になりすました詐欺メール(CEO詐欺・ビジネスメール詐欺=BEC)」が92件と目立ちました。社長や役員のメールアドレスに似せた送信元から、経理担当に「至急、振込してほしい」と依頼する典型的な手口で、出張中・連休中に経営層と直接連絡が取りにくい時期を狙う傾向があります。

2026年第1四半期 IPA相談窓口の主な内訳

窓口種別 件数 主な内訳
情報セキュリティ安心相談窓口(個人向け) 3,533件(前期比約18.7%増) 偽警告 1,154件(32.7%)/フィッシング・不審メール/SNS乗っ取り など
サイバーセキュリティ相談窓口(法人向け) 283件(前期比約26.3%増) 経営層なりすまし詐欺メール 92件/ランサム関連/取引先なりすまし送金詐欺 など

※件数はIPA公表値。偽警告相談1,154件は前期789件から約1.5倍。

▌中小企業への影響

偽警告(サポート詐欺)は本来「個人ユーザー向けの被害」と捉えられがちですが、実際には会社支給のPCで業務中に踏むケースが多発しています。被害者がパニックで遠隔操作ソフトを入れた後、業務PC内のメール・ファイル・ブラウザに保存されたパスワードまで触られると、組織全体への被害に拡大します。経営層なりすましメール(BEC)は、振込権限を持つ経理担当・財務担当が連休前後に集中して狙われる時期です。「連休中に振込指示が来たら一度確認する」というルールを社内で共有しておく必要があります。

▌推奨対応
  • 従業員に対し「画面に表示された電話番号には絶対に電話しない」「警告画面はAlt+F4/タスクマネージャーで強制終了」を月例で周知する
  • 業務PCに遠隔操作ソフト(AnyDesk・TeamViewer・UltraViewer等)を従業員自身がインストールできない権限管理に変更する
  • 経理担当が振込・送金指示を受けた際の「電話・対面での二重確認」フローを文書化し、連休前に確認する
  • 経営層のメールドメイン詐称対策として、SPF・DKIM・DMARCの設定状況を確認する
  • 不審な警告画面・詐欺メールに遭遇した際の社内通報窓口(情シス担当・上司)を従業員全員に案内する
  • 連休中の緊急連絡先と、被害発生時に最初に連絡すべき窓口(保険会社・警察相談ダイヤル#9110・IPA安心相談窓口)を共有する

NEWS 03
山一電機株式会社(東証プライム) | 2026年4月22日

山一電機がフィリピン子会社Priconでランサム被害を公表——4月17日にサーバー被害確認、外部専門家と連携し復旧対応中

半導体テスト用ソケット・コネクタ大手の山一電機株式会社(東証プライム上場)は2026年4月22日、フィリピン子会社Pricon Microelectronics, Inc.(以下、Pricon)の一部サーバーがランサムウェア攻撃を受けたことを公表しました。被害が確認されたのは4月17日で、現在は外部の専門家・調査機関と連携しながら影響範囲の確定と復旧対応を進めているとしています。

同社の発表時点では、影響を受けたサーバーの数や暗号化されたデータの種類、業務への影響の度合いといった詳細は調査中です。Priconはフィリピン現地に拠点を置く製造・組立子会社で、グローバルサプライチェーンの一部を担っています。攻撃者の身代金要求の有無や情報窃取の可能性についても、現時点では公表されていません。

海外子会社・グループ会社をきっかけとした国内親会社への影響は、近年のランサム被害の典型的なパターンになっています。海外拠点はネットワーク監視・パッチ管理・EDR運用などの水準が国内本社より低いケースが多く、攻撃者にとって「親会社のVPN・社内ネットワークに到達するための踏み台」として狙われやすい立ち位置です。今回の事案は、国内親会社のシステムへの直接的な被害は現時点で確認されていませんが、調査が進むにつれて影響範囲が拡大する可能性があります。

▌中小企業への影響

「うちは海外拠点を持っていないから関係ない」と考える中小企業は多いものの、海外取引先・委託加工先・現地代理店からのファイル授受、共同利用しているSaaS、共有のクラウドストレージなどを通じて、間接的に影響を受ける構造があります。また、自社が中堅以上の取引先のサプライチェーンに組み込まれている場合、その取引先の海外子会社が侵害された結果、契約していた発注情報・図面・部品リストが漏えいする可能性もあります。海外拠点を持つ中堅企業は、国内本社と同等のセキュリティ運用を海外拠点に求めるための統制設計が必要です。

▌推奨対応
  • 海外拠点・グループ会社のセキュリティ運用水準(パッチ適用・EDR導入・監視体制)を一覧化し、本社と同等水準への引き上げ計画を作成する
  • 国内本社と海外拠点の間のVPN・専用線について「一方が侵害された場合の遮断手順」を文書化する
  • 取引先の海外拠点が侵害された場合に、自社の発注情報・図面・取引データが漏えいする可能性を契約上どう取り扱うか確認する
  • 共有のクラウドストレージ(Microsoft 365/Google Workspace/Box等)について、海外拠点ユーザーの権限を最小化する
  • 海外拠点のインシデントが発生した場合の報告ルート(拠点長→本社情シス→経営層→広報)と時間制限(24〜48時間)を文書化する
  • サプライチェーンの一員として中堅企業に納品している場合、自社のインシデント発生時の通知期限・連絡先を発注元に提出済みか確認する

編集部まとめ

連休初日の本日は「境界機器内部に居座るバックドア(FIRESTARTER)」「従業員個人を狙う偽警告(サポート詐欺)」「海外子会社経由のランサム(山一電機)」と、攻撃面・対象・経路が異なる3つの動きが並びました。共通するのは、いずれも「自社の中央のサーバを直接狙う」のではなく、組織の周縁——境界装置の中、社員一人ひとりの画面、グローバル拠点——を狙う構造になっている点です。中小企業にとっての対策の軸も、中央のシステムだけでなく「周縁」をどう防御するかに移行しています。

連休中に管理者不在の時間が長くなる前に、ファイアウォール装置のパッチ適用状況の確認、従業員への偽警告・BEC注意喚起、海外取引先・拠点とのインシデント連絡フローの確認の3点を、所要1〜2時間で済ませておきましょう。次号は5月7日連休明け号でお会いします。

参考情報

  • CISA「FIRESTARTER Backdoor」分析レポート AR26-113A(2026年4月23日)
  • CISA News「CISA Warns of FIRESTARTER Malware Targeting Cisco ASA including Firepower and Secure Firewall Products」(2026年4月23日)
  • Cisco Talos「UAT-4356's Targeting of Cisco Firepower Devices」(2026年4月23日)
  • BleepingComputer「Firestarter malware survives Cisco firewall updates, security patches」(2026年4月24日)
  • The Register「CISA, NCSC issue Firestarter backdoor warning」(2026年4月24日)
  • IPA「情報セキュリティ安心相談窓口の相談状況[2026年第1四半期(1月〜3月)]」(2026年4月28日)
  • IPA「サイバーセキュリティ相談窓口の相談状況[2026年第1四半期(1月〜3月)]」(2026年4月23日)
  • Security NEXT「2026年1Qのセキュリティ相談、『偽警告』相談が約1.5倍に」(2026年4月28日)
  • JAPANSecuritySummit Update「IPA、企業向け相談窓口の2026年第1四半期レポート公開」(2026年4月)
  • 山一電機株式会社「海外グループ会社におけるランサムウェア被害の発生について」(2026年4月22日)
  • Security NEXT「海外グループ会社でランサム被害、詳細は調査中 - 山一電機」(2026年4月)

カテゴリー
セキュリティニュース

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事
【インシデント速報】2026年4月27日|山一電機 比子会社ランサム被害・ウエーブ 17万件漏えい可能性・佐賀バルーナーズ フォーム設定不備
2026年4月28日
次の記事
【インシデント速報】2026年4月28日|YCC情報システムのサプライチェーン被害70万件超・いえらぶCLOUD不正アクセス・CAMPFIRE続報22万件確定
2026年4月29日