WatchGuard Fireboxを襲うIKEv2 VPNの深刻な脆弱性:CVE-2025-14733の全貌
2025年12月18日、サイバーセキュリティ業界に衝撃が走りました。ネットワークセキュリティ製品のリーディングカンパニーであるWatchGuard Technologiesは、同社のFireboxアプライアンスに搭載されているFireware OSのIKEv2 VPNサービスに、極めて深刻な脆弱性が存在することを公表したのです。この脆弱性にはCVE-2025-14733という識別子が割り当てられ、同社は内部調査を通じてその存在を特定しました。この発表は、エッジネットワーク機器を狙った広範な攻撃キャンペーンの一環として、脅威アクターがこの脆弱性を積極的に悪用しようとしているという警告を伴うものでした。
WatchGuardは、この脆弱性がすべてのFireboxモデルおよびバージョンに影響を及ぼすと明言し、顧客に対して直ちにFireboxアプライアンスをアップグレードするよう強く促しました。この緊急勧告は、攻撃が既に進行中であるという認識に基づいています。同社は、責任ある情報開示プロセスに従い、脆弱性の詳細、緩和策、および解決策に関する具体的な情報を含むセキュリティアドバイザリ(WGSA-2025-0027)を公開し、迅速な対応を呼びかけました。
この脆弱性は、企業ネットワークの最前線に位置するFireboxアプライアンスの根幹を揺るがすものであり、その影響は広範囲に及ぶ可能性を秘めています。IKEv2 VPNサービスは、リモートアクセスや拠点間接続において不可欠な機能であり、ここに存在する脆弱性は、認証されていないリモートの攻撃者によるシステムへの不正アクセスを許す扉を開くことになります。WatchGuardは、この脅威の深刻度を鑑み、迅速なパッチ適用が組織のセキュリティ体制を維持するための最優先事項であると強調しています。
今回の事態は、エッジデバイスのセキュリティが現代のサイバー脅威環境においていかに重要であるかを改めて浮き彫りにしました。多くの組織がリモートワークやクラウドサービスへの移行を進める中で、VPNゲートウェイのようなエッジ機器は、外部からの攻撃に対する主要な防御線となっています。この防御線に亀裂が生じることは、組織全体のセキュリティに壊滅的な影響をもたらしかねません。WatchGuardの迅速な情報開示とパッチ提供は評価されるべきですが、その一方で、多くの組織がこの緊急事態にどのように対応できるかが問われています。
11万5千台超のFireboxが標的:Shadowserverが警告する広範な攻撃キャンペーン
WatchGuardによる脆弱性開示からわずか数日後の2025年12月22日、セキュリティ監視団体であるShadowserver Foundationは、この脅威の規模に関する衝撃的な分析結果を発表しました。Shadowserverの最新のスキャンデータによると、インターネットに公開されている11万5千台を超えるWatchGuard Fireboxファイアウォールが、CVE-2025-14733を介した侵害の危険にさらされている可能性があるというのです。この数字は、脆弱性の影響範囲が想像以上に広範であることを示唆しており、サイバーセキュリティコミュニティにさらなる緊張をもたらしました。
WatchGuard Fireboxファイアウォールは、単なるファイアウォール機能に留まらず、VPNや統合脅威管理(UTM)機能も統合しており、世界中の様々な組織で利用されています。これらのアプライアンスは、堅牢なLinuxベースのカーネル上に構築されたネットワークセキュリティオペレーティングシステムであるFireware OSで動作しています。Shadowserverの警告は、これらの重要なエッジデバイスが、現在進行中の攻撃キャンペーンにおいて主要な標的となっている現実を浮き彫りにしました。
この脆弱性は、Fireware OSのIKEDプロセス、すなわちVPNトンネルのネゴシエーション、認証、管理を担うIKEデーモンにおけるOut-of-bounds Writeの欠陥として特定されています。Help Net Securityの報道によれば、この欠陥はリモートの認証されていない攻撃者によってトリガーされる可能性があり、ユーザーの操作を一切必要とせずに任意のコード実行を許してしまうという、極めて危険な性質を持っています。このような特性は、攻撃者が遠隔から容易にシステムを乗っ取ることが可能であることを意味し、その潜在的な被害は計り知れません。
さらに、このCVE-2025-14733は、今年既に攻撃者によって悪用された別のFireware OSの認証前RCE脆弱性であるCVE-2025-9242と強い類似性があるとも指摘されています。これは、WatchGuard製品が継続的に高度な脅威の標的となっている可能性を示唆しており、組織がエッジデバイスのセキュリティ対策を一層強化する必要があることを強調しています。Shadowserverのデータは、単なる理論上のリスクではなく、具体的な攻撃の標的となりうる膨大な数のデバイスが存在するという、厳しい現実を突きつけています。
認証不要でコード実行可能:ikedプロセスにおけるOut-of-bounds Writeの脅威
CVE-2025-14733の技術的な詳細に踏み込むと、その深刻度がより明確になります。この脆弱性は、Fireware OSのIKEDプロセス、すなわちIKE(Internet Key Exchange)プロトコルを処理するデーモンに存在するOut-of-bounds Writeの欠陥です。IKEは、IPsec VPN接続の確立において、セキュリティアソシエーション(SA)のネゴシエーションや鍵交換を行うための重要なプロトコルであり、その処理に欠陥があるということは、VPN接続の確立段階で攻撃が可能であることを意味します。
この脆弱性の最も危険な側面は、リモートの認証されていない攻撃者によって悪用され得る点です。つまり、攻撃者はFireboxアプライアンスにログインすることなく、インターネット経由で脆弱性をトリガーし、結果として任意のコードを実行することが可能になります。これは、アプライアンスの完全な制御を奪い、内部ネットワークへの侵入経路を確立する足がかりとなり得るため、極めて重大な脅威です。ユーザーの介入が不要であるという点も、攻撃の容易さを増幅させています。
WatchGuardの警告によると、この脆弱性は、IKEv2を利用したモバイルユーザーVPNおよびダイナミックゲートウェイピアで構成されたIKEv2を利用した拠点間VPNの両方に影響を及ぼします。さらに、過去にこれらの設定が構成され、その後削除された場合であっても、スタティックゲートウェイピアへの拠点間VPNが依然として構成されている場合には、そのFireboxが脆弱なまま残る可能性があると指摘されています。これは、設定変更の履歴や残存する設定が、意図せず脆弱性を残存させるリスクがあることを示しており、管理者にとって複雑な課題を提示しています。
このようなOut-of-bounds Writeの脆弱性は、メモリの安全性を損なうことで、攻撃者が悪意のあるデータを書き込み、プログラムの実行フローを乗っ取ることを可能にします。IKEDプロセスはVPNトンネルの確立というネットワークの根幹に関わる役割を担っているため、このプロセスが侵害されることは、VPN接続を介した機密データの窃取、内部ネットワークへのラテラルムーブメント、さらにはランサムウェア展開など、多岐にわたる深刻なサイバー攻撃へと繋がる可能性があります。この技術的な特性が、CISAやNCSCといった国家レベルのセキュリティ機関が緊急警告を発する理由となっています。
米CISAとNZ NCSCが発令した緊急指令:迫るパッチ適用期限
この深刻な脆弱性に対し、各国のサイバーセキュリティ機関は迅速な対応を求めました。米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2025-14733を「既知の悪用された脆弱性(Known Exploited Vulnerabilities)」カタログに追加しました。これは、この脆弱性が既に現実世界で攻撃者によって悪用されていることを意味し、その危険度を最大限に引き上げる措置です。CISAは、米国の連邦政府機関に対し、2025年12月26日までにこの脆弱性を修正するよう命令を発しました。この短い期限は、脅威の緊急性と、連邦政府システムへの潜在的な影響の大きさを物語っています。
同様に、ニュージーランドの国家サイバーセキュリティセンター(NCSC)も、2025年12月23日午前8時53分にアラートを発令しました。NCSCは、WatchGuard Fireware OSのこのクリティカルな脆弱性が積極的に悪用されていることを確認し、ニュージーランド国内の組織に対し、ベンダーのアドバイザリを確認し、可能な限り速やかに修正を適用するよう強く推奨しました。NCSCのアラートは、この脆弱性がikedプロセスにおけるOut-of-bounds Writeであり、リモートの認証されていない攻撃者が任意のコードを実行できる可能性を改めて強調しています。
これらの国家機関からの緊急勧告は、単なる注意喚起に留まらず、具体的な行動を求める「指令」としての重みを持っています。特にCISAの期限設定は、この脆弱性が国家安全保障上のリスクと見なされていることを示しており、連邦政府機関だけでなく、重要インフラを運営する民間企業や、サプライチェーンを通じて政府機関と連携する企業にとっても、迅速な対応が不可欠であることを示唆しています。パッチ適用を怠ることは、単に自組織のセキュリティリスクを高めるだけでなく、広範なサイバーセキュリティエコシステム全体に悪影響を及ぼす可能性があります。
このような国際的な警告は、サイバー脅威が国境を越えて瞬時に広がる現代において、情報共有と協調的な対応がいかに重要であるかを浮き彫りにします。WatchGuardの顧客は、自社のFireboxアプライアンスがこれらの緊急勧告の対象となっていることを認識し、推奨される対策を遅滞なく実施することが求められています。この脆弱性への対応は、単一の企業の問題ではなく、グローバルなサイバーセキュリティ体制全体の課題として捉えられています。
攻撃者の足跡を追う:特定されたIoCとログ監視の重要性
WatchGuardは、この攻撃キャンペーンに関連する既知の脅威アクター活動を示す4つのIPアドレスを、侵害の痕跡(IoC: Indicators of Compromise)として公開しました。これらのIPアドレスは、45.95.19[.]50、51.15.17[.]89、172.93.107[.]67、199.247.7[.]82です。組織は、自社のネットワークログやFireboxのログをこれらのIPアドレスと照合することで、攻撃の試みや侵害の有無を確認することができます。IoCの提供は、防御側が具体的な脅威に迅速に対応し、潜在的な侵害を特定するための重要な手がかりとなります。
さらにWatchGuardは、攻撃が成功したか否かを示す可能性のあるログメッセージについても詳細を共有しています。攻撃が成功した場合、IKEネゴシエーションを処理するIKEDプロセスがハングアップし、VPNトンネルのネゴシエーションや再鍵交換が中断される現象が発生します。これは強力な攻撃の兆候とされており、既存のトンネルは引き続きトラフィックを通過させる可能性があるものの、この異常な動作は即座に調査されるべきです。
一方、攻撃が失敗した場合、または成功した場合でも、IKEDプロセスがクラッシュし、Firebox上で障害レポートが生成されることがあります。ただし、IKEDプロセスがクラッシュする原因は他にも存在するため、これは弱い攻撃の兆候と見なされています。管理者は、これらのログメッセージを注意深く監視し、異常なIKEDプロセスの動作が見られた場合には、直ちに詳細な調査を開始する必要があります。ログの定期的なレビューと異常検知は、攻撃の早期発見と対応において不可欠な要素です。
侵害の証拠を発見した場合、WatchGuardは、OSのアップデートに加えて、デバイスにローカルに保存されているすべてのシークレット(パスワード、鍵など)を直ちにローテーションするよう強く推奨しています。これは、攻撃者が既にデバイスにアクセスし、認証情報を窃取している可能性を考慮した措置であり、さらなる被害の拡大を防ぐために極めて重要です。IoCの活用とログ監視、そして迅速な対応策の実施は、この進行中の脅威から組織を守るための最前線となります。
緊急パッチと暫定対策:組織が取るべき即時行動
WatchGuardは、この深刻な脆弱性に対処するため、複数のFireware OSの新しいファームウェアバージョンを2025年12月18日付けで提供開始しました。具体的には、Fireware 2025.1.4以降、Fireware v12.11.6以降、Fireware v12.5.15以降、およびFireware v12.3.1 Update 4以降が利用可能です。これらのパッチは、脆弱性を完全に解決するために不可欠であり、WatchGuardはすべてのFireboxユーザーに対し、これらの最新バージョンへの即時アップグレードを強く推奨しています。
影響を受ける製品モデルは、バージョンによって多岐にわたります。例えば、Fireware 2025.1.4はT115/T125/T145/T185/M295/M395/M495/M595/M695モデルに、Fireware 12.11.6はNV5/T20/T25/T40/T45/T55/T70/T80/T85/M270/M290/M370/M390/M470/M570/M590/M670/M690/M4600/M4800/M5600/M5800/FireboxV/FireboxCloudに、Fireware 12.5.15はT15/T35に、そしてFireware 12.3.1 Update 4はT15/T35/T55/T70/M270/M370/M470/M570/M670/M4600/M5600(FIPSモードで動作するモデル)に適用されます。また、Fireware OSのバージョン11.x(11.10.2から11.12.4_Update1までを含む)は既にサポート終了(End-of-Life)となっており、これらのデバイスを使用している組織は、早急に代替策を検討する必要があります。
しかし、何らかの理由で直ちにアップグレードができない組織のために、WatchGuardは暫定的な回避策も提示しています。もしFireboxがスタティックゲートウェイピアへの拠点間VPNトンネルのみで構成されており、IKEv2を使用している場合、WatchGuardが提供する「IPSecおよびIKEv2を使用する拠点間VPNへのセキュアアクセス」に関する推奨事項に従うことで、一時的にリスクを軽減できる可能性があります。これは、パッチ適用までの間、攻撃のリスクを最小限に抑えるための重要な手段となります。
いずれにしても、最も推奨される対策は、利用可能な最新のFireware OSバージョンへのアップグレードです。WatchGuard Cloudに接続されているFireboxの場合、ファームウェアのアップグレードは即座に実行することも、将来の特定の時間にスケジュールすることも可能です。この緊急事態において、組織は自社のFireboxアプライアンスのバージョンと設定を速やかに確認し、推奨される対策を遅滞なく実行することが、サイバー攻撃から身を守るための絶対的な要件となります。
エッジデバイスの脆弱性が示す課題:多角的な防御戦略の必要性
今回のWatchGuard FireboxのIKEv2 VPNサービスにおける深刻な脆弱性、CVE-2025-14733の活発な悪用は、現代のサイバーセキュリティ環境におけるエッジデバイスの重要性と、それに伴う課題を改めて浮き彫りにしました。ファイアウォールやVPNゲートウェイといったエッジデバイスは、組織のネットワークと外部の世界との境界を形成する最前線であり、これらのデバイスに存在する脆弱性は、攻撃者にとって内部ネットワークへの侵入を許す「鍵」となり得ます。認証不要でリモートからコード実行が可能な脆弱性は、最も危険な部類に属し、迅速な対応が求められます。
この事件は、単一の製品やベンダーの問題に留まらず、広範なエッジネットワーク機器を狙った攻撃キャンペーンの一部であるとWatchGuard自身が指摘している点も注目に値します。これは、特定のベンダーの製品だけでなく、インターネットに公開されたあらゆるエッジデバイスが、常に高度な脅威に晒されているという現実を示唆しています。組織は、自社が利用するすべてのエッジデバイスについて、継続的な脆弱性管理、パッチ適用、そしてセキュリティ監視を徹底する必要があります。
また、Shadowserverが指摘した11万5千台を超える潜在的に脆弱なデバイスの存在は、多くの組織がパッチ管理の遅延や、古いバージョンのソフトウェアの使用といった課題に直面していることを示唆しています。CISAやNCSCのような国家機関が緊急の指令を発する背景には、このような広範なリスクと、それに対する組織の対応の遅れへの懸念があります。セキュリティパッチの適用は、単なる技術的な作業ではなく、組織のセキュリティ文化とリスク管理体制の成熟度を測る指標とも言えるでしょう。
最終的に、今回の事態は、多層防御戦略の重要性を再認識させるものです。エッジデバイスの堅牢化はもちろんのこと、内部ネットワークにおけるセグメンテーション、多要素認証の導入、異常検知システムの強化、そして定期的なセキュリティ監査と従業員へのセキュリティ意識向上トレーニングなど、包括的なアプローチが不可欠です。脅威アクターは常に新たな侵入経路を探しており、組織は常に一歩先を行く防御策を講じ続ける必要があります。CVE-2025-14733への対応は、そのための重要な一歩であり、今後のサイバーセキュリティ戦略を再考する契機となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Fireware versions 2025.1.4, 12.11.6, and 12.5.15 - https://www.watchguard.com/wgrd-blog/watchguard-fireware-versions-202514-12116-and-12515-available-now
- -WatchGuard Firebox firewalls under attack (CVE-2025-14733) - https://www.helpnetsecurity.com/2025/12/22/watchguard-firebox-vulnerability-cve-2025-14733/
- -CVE-2025-14733 affecting Watchguard Fireware OS - https://www.ncsc.govt.nz/alerts/cve-2025-14733-affecting-watchguard-fireware-os