まとめ:FortiGateの認証脆弱性悪用が進行中、認証情報流出の恐れ
Fortinet製ファイアウォール(FortiGate ほか)で新たに判明した認証バイパス脆弱性を悪用し、未パッチの機器から認証情報が盗まれる攻撃がすでに発生していることが分かりました。
これは、セキュリティ企業 Arctic Wolf が2025年12月に警告したものです。
何が起きているのか
- 2025年12月9日にFortinetが脆弱性を公表
- その直後から、FortiGateを狙った悪意あるSSO(シングルサインオン)攻撃が急増
- Arctic Wolfによると、12月12日以降だけで数十件の侵入事例を確認
攻撃は特定の組織を狙うものではなく、インターネット上に公開されているFortinet機器を広くスキャンし、機会的に侵入を試みる手法とされています。
影響とリスク
- ファイアウォールの設定ファイルが流出する可能性
- 設定内に保存されていたハッシュ化された管理者認証情報が漏洩
- ネットワーク構成や弱点を把握され、横展開(ラテラルムーブメント)攻撃に発展する恐れ
Arctic Wolfは、不審なログが確認された場合は、すでに認証情報が侵害された前提で即時リセットすべきだと警告しています。
深刻度を示す動き(CISA)
米国の CISA は、
脆弱性の一つ CVE-2025-59718 を KEV(Known Exploited Vulnerabilities)カタログに追加しました。
- KEV掲載=実際に悪用されている脆弱性
- 米国政府機関は即時対応が義務化
- 民間企業にとっても最優先で対処すべき警告とされています
対象となる脆弱性
- CVE-2025-59718
- CVE-2025-59719
影響を受けるのは、FortinetのFortiOS を利用する以下の製品群です:
- FortiGate
- FortiWeb
- FortiProxy
- FortiSwitchManager
これらでは、FortiCloud SSO認証をバイパスされる可能性があります。
注意すべき設定上の落とし穴
- FortiCloud SSOは、FortiCareポータルで機器登録した際に自動で有効化される場合あり
- 管理者が気づかないうちに
「Allow administrative login using FortiCloud SSO」 が有効になっているケースも
推奨される対策(重要)
- FortiCloud SSOログインを無効化
- FortiOSを最新バージョンへアップデート
- アップデート後に、必要な場合のみSSOを再有効化
- 管理者・サービスアカウントの認証情報を全てローテーション
- 最小権限の原則(Least Privilege)を徹底
- Fortinet公式のハードニングガイドラインを再確認
専門家の見解
脆弱性管理プラットフォーム企業 Tuskira のCEO、Piyush Sharma氏は次のように指摘しています。
- Fortinetの対応は迅速だった
- しかし、攻撃者の悪用スピードは従来のパッチ運用を上回っている
- 流出した設定情報は、精密で危険な標的型攻撃の土台になり得る
まとめ(要点)
- すでに実攻撃が発生している脆弱性
- 未パッチ機器は高確率で狙われる
- 認証情報漏洩は、全面的なネットワーク侵害につながる可能性
- 即時パッチ適用と認証情報の更新が必須
