
この記事はBitsightのブログを日本語に翻訳したものです。
Major Security Event: Fortinet VPN Credentials and Configuration Data Exposed for 73,000 Devices
https://www.bitsight.com/blog/security-alert-fortibleed-fortinet-vpn-credentials-firewall-exposed
本記事では、Bitsightが公開したFortinet VPN認証情報漏えい(FortiBleed)に関する調査内容を日本語で紹介します。
関連記事
Fortinet VPN認証情報漏えい(FortiBleed)については、弊社の「ほぼこもセキュリティニュース」でも概要や注目ポイントを解説しています。
まず全体像を把握したい方は、こちらもあわせてご覧ください。
Bitsight調査:FortiBleedとは?Fortinet VPN認証情報漏えいの概要
「FortiBleed」と呼ばれる大規模認証情報漏えいキャンペーンでは、インターネットに公開されているFortinet社製FortiGateファイアウォールの7万3,000件分の管理者用認証情報が流出しました。流出した認証情報のデータセットは、2026年6月中旬現在も、犯罪者の地下コミュニティで流通していると報じられています。研究者は、被害は194か国に及び、インターネット経由でアクセス可能なFortiGate機器の約50%が影響を受けた可能性があると推定しています。Fortinet関連のセキュリティインシデントとしては、過去最悪の規模と言えるでしょう。
報道によると、漏えいしたデータには、世界各地で運用されているFortinetおよびFortiGate環境のVPN認証情報やファイアウォールの設定情報が含まれているということです。こうした漏えい情報は、影響を受けた環境への不正アクセスや正規の認証情報の悪用を可能にするほか、その後の攻撃を想定し、内部ネットワークの構成情報の収集に利用される恐れがあります。
現時点では、今回のケースは、新たに公開された脆弱性に起因するものではないと考えられています。ただし、研究者の見解としては、現在流通しているデータセットは、Fortinet機器への過去の不正アクセスで得られたものであり、これまでに悪用された脆弱性に関与していた可能性があるということです。流出の原因が何であれ、流出の可能性がある認証情報は、侵害されたものとして扱うべきであり、リスク評価を行い、影響を受けたアカウントを修復するなど、速やかに対策を講じる必要があります。
Bitsightの脅威インテリジェンスに基づく見解
Bitsightの研究者は、FortiBleedキャンペーンに伴う攻撃活動が現在も継続中であることを確認しています。例えば、ロシアのサイバー犯罪フォーラムでは、本事案に関連するデータの販売が少なくとも1件確認されています。また、Bitsightの脅威インテリジェンス(CTI)でも、当該CVEに関連したChiselやNeo-reGeorgのようなトンネリングツールが確認されています。いずれのツールも、Volt Typhoonの攻撃キャンペーンなど、Fortinetの境界型機器を標的とした国家支援型のキャンペーンで使用されていたことが確認されています。こうしたツールが、今なお攻撃者のツールキットで見つかっている事実は、流出した認証情報が何らかの形で蓄積され、無差別な不正アクセスだけでなく、標的を絞った侵入活動にも利用されていることを示唆しています。
このキャンペーンでは、FortiOSの認証情報管理における欠陥が悪用されています。この欠陥は、機器を旧バージョンからアップグレードした場合、管理者が手動でログインするまで、管理者用パスワードが強度の低いSHA-256ハッシュのまま保存されるというものです。攻撃者は、45基のGPUを搭載したオフライン解析基盤を用い、これらのハッシュを大規模かつ組織的に解析し、数万台分の有効な認証情報を取得しました。
Fortinet VPN認証情報漏えいの技術概要
| 項目 | 詳細 |
|---|---|
| インシデントの種類 | 認証情報の流出/データ漏えい |
| 影響を受けるコンポーネント | Fortinet FortiGateファイアウォール(FortiOS)およびVPNインフラ 対象バージョン: FortiOS 7.2.11、7.4.8、7.6.1より前のバージョン |
| 流出した情報 | VPN認証情報および設定情報 |
| 確認されたツール | Chisel、Neo-reGeorg、EternalBlue |
| 想定される影響 | 不正アクセス、認証情報の悪用、ネットワークへの侵入 |
| アンダーグラウンドでの動向 | Telegram、ペーストサイト、サイバー犯罪フォーラムにおける認証情報の売買が活発化 |
今回のインシデントが重要視される理由
FortiGateファイアウォールは、企業ネットワークの境界に設置されています。管理者認証情報が攻撃者の手に渡った場合、その攻撃者は組織のネットワーク境界全体を制御できるようになります。例えば、ファイアウォールルールの変更、VPNトラフィックの傍受、バックドアアカウントの作成、ログの無効化、さらにはランサムウェアの展開やデータの窃取が可能になります。
FortiBleedでは、インターネットに公開されているFortiGate機器のおよそ半数が影響を受けています。その規模を考えると、直接の標的かどうかにかかわらず、あらゆる業種・地域の組織が今現在もこのリスクにさらされていると考えてもよいでしょう。認証情報は、修正プログラムが適用され正常に動いているように見える機器からも、静かに流出しています。また、積極的な脅威ハンティングを実施しない限り、防御側は気付かないままです。
関連する攻撃活動において、国家とつながりのあるトンネリングツール(Chisel、Neo-reGeorg)が確認されている事実は、今回のデータセットが、一般的なサイバー犯罪者だけに利用されているわけではないことを示しています。高度な技術力と豊富な資源を持つ攻撃者も、同じデータセットを使って標的型侵入を実行しているのです。
企業への影響:Fortinet VPN利用組織が直面するリスク
影響を受けるFortiGate機器を運用している組織は、以下に挙げる重大な二次的リスクに直面する可能性があります。
- 流出した管理者認証情報またはSSL VPN認証情報によるネットワークへの不正アクセス
- ファイアウォールルールの改ざんによる、永続的アクセスの維持や通信の傍受
- 境界への初期侵入後、ChiselやNeo-reGeorgなどのトンネリングツールの利用による社内システムへのラテラルムーブメント(横展開)
- ランサムウェアの展開(過去の攻撃キャンペーンでは、FortiGateの認証情報窃取がランサムウェア攻撃の前兆となっていたことが確認されている)
- 攻撃者が制御するVPNトンネルや転送ルールを悪用したデータの窃取
- 機密システムへの不正アクセスに起因する法規制やコンプライアンス上のリスク
- 境界デバイスへの不正アクセスによって、取引先やビジネスパートナーにも影響が及ぶことによるサードパーティおよびサプライチェーンリスク
企業が実施すべき対策
1.漏えいの可能性を考慮し、すべての認証情報を変更する
FortiGate機器を対象に、管理者アカウント、ローカルユーザーアカウント、SSL VPN認証情報をリセットしてください。侵害の有無に関係なく実施することが重要です。流出した認証情報は攻撃者の手に渡っているものと考え、影響の可能性のあるアカウントは危険な状態にあるものとして扱う必要があります。
2.修正済みFortiOSへアップデートする
影響を受ける機器をFortiOS 7.2.11、7.4.8、7.6.1以降へアップグレードしてください。ただし、修正プログラムを適用するだけでは、従来のSHA-256パスワードハッシュは削除されない可能性があります。アップグレード後に管理者がログインし、パスワードハッシュをPBKDF2方式へ移行させる必要があります。
3.パスワードハッシュの再認証を強制する
FortiOS 7.2.xおよび7.4.xでは、該当するパスワードポリシー設定を有効にしてSHA-256との後方互換性を無効化し、管理者アカウントに対してより強力なパスワードハッシュ方式を適用してください。
- FortiOS 7.6.xの場合
次の設定を使用します:login-lockout-upon-weaker-encryption - FortiOS 7.2.xおよび7.4.xの場合
Fortinetのドキュメントでは、これに相当する設定として次の項目が使用されています:login-lockout-upon-downgrade
4.管理インターフェースへのアクセスを制限する
FortiGateの管理インターフェースへの外部からのアクセスを直ちに遮断してください。アクセスは、信頼できる社内IPアドレス、VPN経由の管理経路、アウトオブバンド管理ネットワークに限定します。SSL VPNポータルは、明確な業務上の必要性がある場合に限り、インターネットからアクセスを可能にしてください。
5.多要素認証(MFA)を必須にする
すべての管理者アカウントおよびリモートアクセス用アカウントで、多要素認証(MFA)を有効にしてください。パスワードの流出が懸念される状況において、MFAは、認証情報の悪用による攻撃に対する最も効果的な対策の一つです。
6.侵害の痕跡(IoC)の有無を調査する
不正アクセスや侵入後の活動の兆候がないか、次の点についてログを確認してください。
- 想定外の管理者ログイン
- アカウントの新規作成
- ファイアウォールルールの改ざん
- ログ機能の無効化
- 通常の業務時間外に確立されたSSL VPNセッション
- 通常とは異なる地域または見覚えのないIPアドレスからのアクセス
- ChiselまたはNeo-reGeorgによるトンネリングに関連する活動
Bitsight Vulnerability Detectionを使用して、CVE-2022-40684、CVE-2023-27997、およびCVE-2024-55591の影響を受けていないか確認してください。
Fortinetを狙う攻撃動向とFortiBleedの特徴
FortiBleedキャンペーンは、ネットワーク境界機器を組織的に狙う攻撃者の「定石」パターンを踏襲しています。同様の攻撃パターンは、CVE-2023-27997(XORtigate)、Volt Typhoonによる攻撃キャンペーン、さらに約5万台のFortinet機器からVPN認証情報が流出した2020年のCVE-2018-13379大規模悪用事案でも確認されています。いずれの事案も、インターネットと内部ネットワークの境界に設置されたFortiGate製アプライアンスが、攻撃者にとって価値の高い標的であることを示しています。
GPUを用いた専用のクラッキング基盤、業種や売上高別に整理された認証情報データセット、広域な攻撃対象地域、国家支援型攻撃での使用が確認された攻撃後ツールなどから、FortiBleedキャンペーンは高度に組織化された攻撃活動であることがうかがえます。このことはまた、脅威ランドスケープが多層化していることを示しています。スキルの低いサイバー犯罪者は、認証情報を金儲けの手段くらいに考えているでしょう。これに対し、スキルの高い攻撃者の場合、同じ情報でも、標的型のスパイ活動や侵入キャンペーンのような目的意識をもってプールしている傾向がみられます。
Bitsight CTIは、Telegram、サイバー犯罪フォーラム、テキスト貼り付けサイトを対象に、アンダーグラウンド上のやり取りを継続的に監視しています。FortiBleed関連の活動量と活発さから、このキャンペーンは現在も継続中であり、流出した認証情報データセットは今後の攻撃でも引き続き悪用されていくものと考えられます。
Bitsight CTI・TPRMが支援できること
- 脅威の監視:
アンダーグラウンド上の情報ソースで新たな動きを監視しながら、FortiBleedに関連した攻撃活動、関連するFortinetのCVE、攻撃者が使用するツールを継続的に追跡します。 - キャンペーンの相関分析:
今回のインシデントと、Fortinetを狙った広範な攻撃動向や関連する侵入キャンペーンを関連付けることで、攻撃者の行動や今後想定される動きの理解を深めます。 - 外部エクスポージャーの検出:
影響を受けるFortiOSバージョンを実行するインターネットに公開された資産を特定するとともに、認証情報の悪用や後続の攻撃を受ける可能性がある公開システムを検出します。 - サードパーティリスク管理:
影響を受けるFortinet製品に関するベンダーおよびサプライチェーンのリスクを評価し、脅威の状況や事業上のコンテキストを踏まえてサードパーティリスクの優先順位を決定することで、対策の効率化を図ります。
まとめ:FortiBleedへの対応で押さえるべきポイント
FortiBleedは、境界インフラで情報が漏えいした場合、それが短期間のうちに事業全体、そしてサプライチェーン全体へと波及する可能性があることを示しています。Fortinetの有効な認証情報が地下コミュニティで流通し、継続的な悪用の証拠が確認されていることから、本事案は最優先事項として扱う必要があります。
当面は、認証情報のローテーション、修正プログラムの適用、アクセスの制限、多要素認証(MFA)の徹底、脅威ハンティングなどを優先し、これと並行してベンダーエコシステム全体におけるサードパーティリスクの評価も進めるといいでしょう。今回流通しているデータセットは、今現在も攻撃での悪用が確認されているため、継続的な監視が不可欠です。
Bitsightについて
Bitsightは、企業やサプライチェーンのサイバーリスクを可視化・評価するサイバーリスク管理プラットフォームです。外部から観測可能な情報や脅威インテリジェンスを活用し、自社や取引先のリスクを継続的に把握・管理するためのソリューションを提供しています。
Bitsightのサービスについて詳しくはこちらをご覧ください。
| この記事をシェア |
|---|
一緒によく読まれている記事
-
ほぼこもセキュリティニュース
- 2023年のFortiBleedが再び話題に、その背景とは
- FortiBleedは、Fortinet社のFortiOSおよびFortiProxyに存在した重大な脆弱性(CVE-2023-27997)であり、2023年に公表されました。
-
サイバー領域
- 【2021年の予測】日本を標的としたサイバー攻撃
- 2020年振り返って6つのトレンドで2021年のサイバー攻撃を予測 この度、テリロジーワークスは2020年における日本を取り巻くサイバー脅威の現状を概観し、その傾向の解説と202...
関連したサービスの紹介記事
-
サイバー領域
- 【Bitsight調査】取引先を狙う攻撃で悪用される脆弱性トップ5 :サードパーティーリスクの実態
- Bitsightの脅威インテリジェンスをもとに、取引先企業を標的とした攻撃で実際に悪用されている脆弱性トップ5を解説。サードパーティーリスクやサプライチェーン攻撃の実態と対策の示...
-
サイバー領域
- 【Bitsight脅威インテリジェンス】2025年に脅威アクターが活用した主要なTTP(戦術・手法・手順)
- 2025年に脅威アクターが多用した主要な戦術・手法・手順(TTP)をBitsightが解説。脆弱性悪用やフィッシング、ランサムウェアなど最新の攻撃動向をMITRE ATT&CKに...