出典: The Hacker News – https://thehackernews.com/2025/11/asd-warns-of-ongoing-badcandy-attacks.html
原題: ASD Warns of Ongoing BADCANDY Attacks Exploiting Cisco IOS XE Vulnerability
Cisco IOS XEの重大脆弱性「CVE-2023-20198」を狙うBADCANDY攻撃の継続警告
オーストラリア信号局(ASD)は、Cisco IOS XEに存在する深刻な脆弱性CVE-2023-20198を悪用した「BADCANDY」と呼ばれるマルウェアを用いた攻撃が国内で継続していることを警告しました。本記事では、この攻撃の特徴や技術的背景、影響、そして対策について詳しく解説します。
主要なポイント
- 脆弱性CVE-2023-20198の概要:リモートかつ認証不要で特権アカウントを作成可能な重大な脆弱性(CVSSスコア10.0)であり、攻撃者にシステム制御を奪われる恐れがある。
- BADCANDYマルウェアの特徴:Luaベースの低機能なウェブシェルで、永続化機能はなく再起動で消えるが、攻撃者は繰り返し再感染を試みている。
- 攻撃の背景:中国に関連する脅威グループ「ソルト・タイフーン」が通信事業者を標的に侵入を試みており、2023年10月以降、オーストラリア国内で多数の感染例が報告されている。
- 感染状況と影響:2025年7月以降、最大400台のデバイスが感染し、10月だけで150台が新たに感染。攻撃者は感染を隠蔽しつつ再感染を繰り返している。
- 推奨される対策:パッチ適用、ウェブインターフェースの公開制限、不審な特権アカウントの削除、設定変更ログの監視など多層的な防御が必要。
技術的な詳細や背景情報
CVE-2023-20198は、Cisco IOS XEの認証機構に存在する欠陥で、攻撃者が認証なしに特権レベル15のアカウントを作成可能です。特権レベル15は管理者権限に相当し、これを取得されるとネットワーク機器の完全な制御が奪われます。
BADCANDYはLuaスクリプトで実装されたウェブシェルで、攻撃者が侵入後にデバイス上でコマンドを実行するためのツールです。永続化機能はなく、システム再起動で消失しますが、攻撃者は脆弱性を再度悪用して再感染を繰り返します。また、BADCANDYは侵害の痕跡を隠すために非永続的なパッチを適用し、検知を困難にしています。
攻撃者グループ「ソルト・タイフーン」は、中国に関連するとされ、通信事業者を中心に標的を絞り、長期間にわたり侵入活動を続けています。ASDの報告によると、オーストラリア国内でも多数の感染例が確認されており、被害は拡大傾向にあります。
影響や重要性
この脆弱性とBADCANDY攻撃は、通信インフラの根幹を担うCisco IOS XEデバイスを標的としているため、ネットワークの信頼性や安全性に深刻な影響を及ぼします。特に、認証不要で管理者権限を奪取される点は、攻撃の成功率を高め、被害拡大を招きやすい特徴です。
さらに、攻撃者が感染の痕跡を巧妙に隠蔽し、再感染を繰り返すため、単純な再起動や一時的な対処では根本的な解決になりません。これにより、組織のネットワーク運用に長期的なリスクが生じることが懸念されます。
まとめ
Cisco IOS XEのCVE-2023-20198脆弱性を悪用したBADCANDY攻撃は、依然として活発であり、特に通信事業者を中心に深刻な影響を及ぼしています。ASDの警告を受け、システム管理者は速やかにパッチを適用し、不審なアカウントや設定の監査、ウェブインターフェースのアクセス制限など多層的な対策を講じることが不可欠です。
攻撃の再発防止には、Ciscoが提供する強化ガイドラインの遵守と、継続的な監視体制の構築が求められます。ネットワーク機器のセキュリティを確保し、重要インフラの安全を守るために、早急な対応を推奨します。
