CISA KEV 警告 25/12/17:Fortinet 製品群の脆弱性 CVE-2025-59718 を登録

CISA Adds Fortinet Vulnerability to KEV Catalog After Active Exploitation

2025/12/17 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が 2025年12月16日に発表したのは、Fortinet の脆弱性 CVE-2025-59718Known Exploited Vulnerabilities (KEV) カタログへの追加である。米連邦政府の組織が必要な修復措置を適用する最終期限として、2025年12月23日が指定されている。この措置は、この脆弱性が実際に悪用されている実態と、組織のネットワークに対する差し迫った脅威を反映したものである。この脆弱性は、FortiOS/FortiSwitchMaster/FortiProxy/FortiWeb を含む複数の Fortinet セキュリティ製品に影響を及ぼす。

この脆弱性 CVE-2025-59718 は暗号署名の不適切な検証に起因し、特別に細工された SAML メッセージを送信する未認証の攻撃者に対して、FortiCloud のシングル・サインオン (SSO) 認証のバイパスを許すものである。この認証バイパスの脆弱性により、有効な認証情報を必要としない、ネットワークへの不正なアクセス経路が提供されてしまう。また、関連する脆弱性 CVE-2025-59719 も同じ問題を持っていると、Fortinet のアドバイザリで説明されている。影響を受けるシステム全体に対して、包括的なパッチ適用が必要である。

この脆弱性は CWE-347 (暗号署名の不適切な検証) に分類され、認証メカニズムにおける問題点を示している。すでに Fortinet は、ベンダー・アドバイザリを通じて問題を公表しており、提供されているパッチを直ちに適用するよう、管理者に対して強く推奨している。

DetailInformation
CVE IDCVE-2025-59718
CWE ClassificationCWE-347 (Improper Verification of Cryptographic Signature)
Vulnerability TypeAuthentication Bypass via SAML
Attack VectorUnauthenticated, Network-based

CISA による KEV カタログ追加が示すのは、連邦政府セキュリティ・ガイダンスへの準拠であり、クラウド・サービスを運用する機関に対して、特に強く義務付けられる。それらの組織は、クラウドベースの Fortinet ソリューションを導入する際に、該当する BOD 22-01 ガイダンスに従う必要がある。

それらの機関においては、2025年12月23日の期限までにパッチを適用し、不正なネットワーク侵入を防止することが求められている。なお、パッチを即時適用できない組織に対しては、修正が検証されるまでの間において、製品の使用の停止が推奨されている。

今回の KEV 追加から示唆されるのは、実環境での攻撃において、すでに脅威アクターが脆弱性 CVE-2025-59718 を悪用している可能性である。ただし、現時点での CISA の評価では、この脆弱性とランサムウェア攻撃との明確な関連性は確認されていない。とはいえ、脅威インテリジェンスの進展に伴い、この分析が変化する可能性もある。

民間のセキュリティ・チームにおいても、パッチ管理サイクルでの CVE-2025-59718 の修正を優先すべきである。特に、インターネットに直接さらされる可能性があるエッジ・セキュリティ・アプライアンスや Web アプリケーション・ファイアウォールでは、早期の対応が重要である。

Fortinet の深刻な脆弱性 CVE-2025-59718 が、CISA の KEV に登録されました。この脆弱性の原因は、認証に使われる SAML メッセージの暗号署名を、システムが正しく検証できていなかったことにあります。この不備を突く攻撃者は、細工をしたメッセージを送るだけで、ユーザー名やパスワードを必要とせずに認証を通り抜け、ネットワークに侵入できてしまいます。すでに、この弱点を悪用した攻撃が確認されており、米国の公的機関でも早急な対応が義務付けられるほど警戒されています。ご利用のチームは、ご注意ください。よろしければ、Fortinet での検索結果も、ご参照ください。