Fortinet SSL VPN Targeted by Hackers from 780 Unique IP Addresses
2025/08/12 gbhackers — Fortinet SSL VPN システムに対するブルートフォース攻撃の急増を、GreyNoise のサイバーセキュリティ研究者たちが検知した。僅か1日の間に 780 以上の固有 IP アドレスから協調攻撃が仕掛けられ、最近の数か月における、この種の攻撃としては最多件数を記録した。この攻撃キャンペーンが示すのは、Fortinet のエンタープライズ・ネットワーク・インフラを標的とする攻撃が顕著に増加し、その手法がランダム・スキャンではなく、標的を正確に侵害していることだ。
前例のない攻撃件数が示唆する潜在的な脆弱性とは?
この悪意のトラフィックの急増により、GreyNoise の Fortinet SSL VPN ブルートフォース攻撃検出システムがトリガーされ、通常の攻撃件数との比ではない、大幅な増加が確認された。
GreyNoise の調査結果を分析すると、この種の攻撃活動の急増は、早期の警告シグナルとなる場合が多く、過去の事例の 80% においては、対象ベンダーの新たな脆弱性が、6週間以内に公開されている。
つまり、このパターンが示すのは、Fortinet システムに存在する未知の脆弱性を、今回の攻撃キャンペーンが悪用している可能性である。
攻撃は広範なスキャンではなく、意図された標的型の攻撃であり、そのトラフィックは FortiOS プロファイルに集中していた。この 90日間で浮上してきた地理的な要因としては、主要な標的国が香港とブラジルである点だ。それが示唆するのは、これらの地域への標的インフラの集中、もしくは、脅威アクターが戦略的な関心事となる。
今回の攻撃キャンペーンの分析により、2種類の運用フェーズが確認された。第1波は、一貫した TCP シグネチャに基づく長期的ブルートフォース攻撃であり、時間が経過しても安定したレベルを維持していた。
しかし 8月5日以降においては、異種の TCP シグネチャを持つ突発的なトラフィックの集中が観測され、戦術的な進化が確認された。ここで重要なのは、攻撃者が基盤インフラを維持したまま、標的を FortiOS から FortiManager FGFM プロファイルに移行し、適応力を示した点である。
この方向転換が示唆するのは、同一の脅威アクターによる標的範囲拡大、または、共有ツール・セットを用いる組織的な攻撃の展開である。
今回の攻撃インフラに対する調査で判明したのは、住宅用のネットワークが攻撃の起点となっている可能性である。ある IP アドレスは、住宅 ISP ブロック内で稼働する FortiGate デバイスにより解決された。それが示すのは、住宅ネットワークからのテストの可能性であるが、真の攻撃起点を隠すために、住宅用プロキシ・サービスが利用された可能性も、研究者たちは指摘している。
この攻撃キャンペーンの高度な技術と標的型の性質は、Fortinet SSL VPN ソリューションを利用する組織にとって重大な脅威である。つまり、攻撃者が継続的にアクセスを試みる行動は、複数の Fortinet サービス間での迅速な切り替えを伴うものであり、高度な運用能力を示しているからだ。
GreyNoise の研究者たちが推奨するのは、タグ付けされたブラック・リストによる動的 IP ブロックの実装や、この攻撃キャンペーンに関連する、特定トラフィック・シグネチャの監視などの、即時的な防御策の実施である。
ユーザー組織にとって必要なことは、急増する攻撃への監視と、今後の数週間以内に発生し得る脆弱性の開示に備えることである。それにより、今後に公開されるかもしれない、新たな脆弱性に対する、過去の類似パターンを参考にできるだろう。
Fortinet SSL VPN に対する大量ログインを試行する、ブルートフォース攻撃が検知されているようです。単なるランダム攻撃ではなく、特定の標的を狙った動きが特徴的です。注目すべきは、FortiOS から FortiManager への標的切り替えや、異なる TCP シグネチャの活用といった戦術的な変化です。それらが示唆するのは、攻撃者が高度な運用能力だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Fortinet で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.