https://infomation-sytem-security.hatenablog.com/entry/arcanedoor-apt-threat

東証プライム上場企業で情報システム部のセキュリティ担当をしている城咲子です。 CISSP、CCSP、登録セキスペの資格を持ち、日々セキュリティの実務と格闘しています。

2024年4月にその存在が報告されて以来、国家支援型脅威アクター「ArcaneDoor（アーケインドアー）」の活動が、再び深刻なレベルで観測されています。米国のCISA（サイバーセキュリティ・社会基盤安全保障庁）が連邦政府機関に対し、Cisco製機器の脆弱性に対して24時間以内の対応を求める緊急指令（ED 25-03）を発令する事態となりました。

「うちは政府機関じゃないから関係ない」「Ciscoの該当機器は使っていない」

そう考えるのは早計です。これは、単なる「特定の機器の脆弱性」の問題ではありません。私たちが長年依存してきた「境界型防御（ペリメータ・セキュリティ）」という考え方そのものが、高度な攻撃者の前ではいかに脆いかを突き付けた、経営レベルのセキュリティ・インシデントであると認識すべきです。

この記事では、技術的な解説に留まらず、なぜArcaneDoorがこれほどまでに深刻なのか、そして私たち情シス担当者と経営層が、この脅威から何を学び、どう行動を変えるべきかを、私の実務経験（「自分が動くのではなくルールを変えて人と組織を動かす」）に基づき提言します。

ArcaneDoorとは何か？なぜこれほど深刻なのか？

ArcaneDoorは、特定の国家が背後にいるとされる高度なサイバー攻撃集団（APT: Advanced Persistent Threat）です。彼らの目的は、政府機関や重要インフラを標的としたスパイ活動や妨害活動と見られています。

彼らが狙ったのは、多くの企業や組織が「外部」と「内部」を分ける境界線として信頼しているCisco製のVPN機器（ASA、FTDなど）でした。

1. 境界防御の「要」を狙う戦略性

VPN機器は、外部から社内ネットワークへの安全な「入り口」を提供する、いわば"城の正門"です。攻撃者は、この"城門"の脆弱性（CVE-2024-20353, CVE-2024-20359や、直近ではCVE-2025-20333, CVE-2025-20362など）を突き、門のシステム自体を乗っ取ることに成功しました。

一度"城門"を乗っ取られれば、攻撃者は正規の利用者になりすまし、内部ネットワークへ自由に侵入できます。

2. 検知が極めて困難な高度なマルウェア

ArcaneDoorが用いるマルウェア（「Line Runner」や「Line Dancer」と呼ばれる）は、非常に巧妙に作られています。

メモリ上でのみ活動: ディスクにファイルを残さず、メモリ上（RAM）でのみ動作するため、従来のアンチウイルスソフトでは検知が困難です。
痕跡の消去: 攻撃の痕跡やログを巧みに消去し、侵入の事実そのものを隠蔽します。
再起動後も持続: 通常、メモリ上のマルウェアは再起動で消えますが、彼らは機器の起動プロセスにまで介入し、再起動後もバックドアが維持される仕組みを組み込んでいました。

これは、Cisco機器のアーキテクチャを深く理解していなければ不可能な、まさに国家レベルの技術力です。

3. CISAが「24時間以内」の対応を命じた異常事態

セキュリティの世界で「24時間以内」の対応」という指令が出ることは、極めて異例です。これは、「すでに広範囲で悪用が横行しており、一刻の猶予もない」という当局の強い危機感の表れです。

一般企業であっても、この深刻度を他人事として捉えてはいけません。

情シス担当者・経営層が今すぐ確認すべきこと（短期的対策）

まず、火急の対策として、以下をチームとして（属人性を排除して）実行してください。

資産管理の徹底:
- 自組織でCisco ASA、FTD、および関連するIOS XE/XR機器を正確に把握していますか？
- その機器のファームウェアバージョンは最新ですか？
- （私の経験上、ネットワーク機器の資産管理台帳が古く、現場の担当者しか正確な構成を把握していないケースは非常に危険です。「属人性の徹底排除」がここでも問われます。）
パッチの即時適用:
- CiscoおよびJPCERT/CCから公開されているアドバイザリを確認し、該当する脆弱性がある場合は、即時に修正済みバージョンへアップデートしてください。
- JPCERT/CCによれば、回避策（ワークアラウンド）は提供されていません。アップデートが唯一の根本対策です。
侵害の兆候（IoC）の確認:
- Cisco Talosなどが公開している侵害の兆候（IoC: Indicator of Compromise）情報を元に、自組織のログ（不審なログイン、設定変更、再起動など）を調査してください。
クレデンシャル（認証情報）のリセット:
- 侵害が少しでも疑われる場合、あるいは予防的措置として、JPCERT/CCはローカルのパスワード、証明書、鍵などのリセットを推奨しています。乗っ取られた"城門"の鍵をすべて交換するイメージです。

「パッチを当てて終わり」ではない。ArcaneDoorが突き付けた本質的な課題

さて、ここからが本題です。パッチを当て、鍵を交換し、「対応完了」と報告書を書いて終わりでしょうか？

断じて、否。

私の信条は「自分が動くのではなくルールを変えて人と組織を動かす」です。ArcaneDoorは、私たち情シス部門が、セキュリティに関する「古いルール」を見直し、経営層と共に「新しいルール」を作る絶好の（そして最後の）チャンスを与えてくれたと考えるべきです。

課題1：境界型防御（ペリメータ・セキュリティ）の限界

今回の件で、「VPNさえ通れば内部は安全」という神話は完全に崩壊しました。

「信頼できる内部」は存在しない: 一度侵入されれば、内部ネットワークは攻撃者にとって「狩り場」となります。
テレワークの普及: 社員が社外からアクセスするのが当たり前になり、内部と外部の境界線はすでに曖昧です。

もはや、「城壁」だけで守る時代は終わりました。

課題2：「侵入された後」の対策が貧弱

多くの日本企業は、「いかに侵入させないか（防御）」にはコストをかけますが、「いかに早く侵入に気づき、対処するか（検知・対応）」には非常に消極的です。

ArcaneDoorのように検知困難な攻撃は、「侵入は防ぎきれない」という前提に立たなければ太刀打ちできません。

情シスの提言：「ゼロトラスト」への移行こそが根本対策

「情シス部門は経営の片腕」であるべきです。私たちが今、経営層に提言すべきは、目先のパッチ適用報告ではなく、セキュリティ・アーキテクチャの根本的な変革です。

それが「ゼロトラスト（Zero Trust）」です。

ゼロトラストとは、「何も信頼しない。すべてを検証する」という考え方に基づいたセキュリティモデルです。

境界型防御（従来）: 「城壁の中（社内）にいる人は信頼する」
ゼロトラスト（今後）: 「たとえ城壁の中（社内）にいても、その人が本人か、安全な端末か、アクセス権限があるかをアクセスのたびに検証する」

ArcaneDoorがVPN（境界）を突破したとしても、ゼロトラストが導入されていれば、攻撃者は内部の重要サーバーにアクセスするたびに「検証」を求められ、異常な活動が検知されやすくなります。

このインシデントを「VPN機器が古かったから」という技術的な問題に矮小化させてはいけません。 「我が社のセキュリティの『前提』が間違っていた」という経営課題として捉え、ゼロトラスト原則の導入、EDR（端末監視）やNDR（ネットワーク監視）の強化といった「侵入される前提」の体制構築を、経営層に強く働きかけるべきです。

まとめ

国家支援型アクター「ArcaneDoor」は、私たちが依存してきた「境界型防御」の脆さを白日の下に晒しました。

情シス担当者は、緊急のパッチ適用（短期対策）を迅速に行うと同時に、これを「対岸の火事」や「一過性の問題」として処理してはなりません。

この脅威を、自社のセキュリティ体制を根本から見直す「号砲」と捉えましょう。経営の片腕として、「ルールを変えて組織を動かす」。ゼロトラストという新しい原則へ舵を切るために、今こそ経営層と対話すべき時です。