FortiGate Firewalls Exploited in Wave of Attacks to Breach Networks and Steal Credentials
2026/03/15 CyberSecurityNews ‐‐‐ FortiGate Next-Generation Firewalls (NGFW) を2026年初頭に侵害した脅威アクターが、エンタープライズ環境内に持続的な足場を確立しようとする、一連の侵入インシデントが確認された。いずれのケースも、攻撃者は目的を完全に達成する前のラテラル・ムーブメントの段階で阻止された。SentinelOne によると、この攻撃の波は 2025年12月から 2026年1月に公開された、Fortinet の 3 件の深刻な脆弱性と密接に関連しているという。
脆弱性 CVE-2025-59718/CVE-2025-59719 (CVSS : 9.8) は、いずれも暗号署名検証の不適切な実装 (CWE-347) に起因する。未認証の攻撃者が細工された SAML トークンを送信すると、有効な認証情報なしに FortiGate デバイスの管理者アクセスを取得できる。CISA は CVE-2025-59718 を、Known Exploited Vulnerabilities (KEV) カタログへ追加し、修正期限を 2026年1月23日と設定していた。
3 件目の脆弱性 CVE-2026-24858 は、2026年1月に実際に悪用されたゼロデイ脆弱性である。この脆弱性の悪用に成功した攻撃者は、自身の FortiCloud アカウントを用いて、標的とする FortiGate デバイスへログインできる。これは、提供されているパッチを回避するものではなく、新たに確認された独自の攻撃経路である。
Fortinet は 2026年1月26日の時点で、FortiCloud SSO を一時停止してパッチを公開した。その上で、SSO 機能を再開する前に、顧客によるファームウェアのアップグレードが必要になると警告を発した。
これらのエクスプロイトに加えて、公開されている FortiGate インスタンスをスキャンする低スキルの攻撃者たちが、脆弱な認証情報やデフォルト認証情報を悪用して、ログインを試みていることも研究者たちは確認している。これにより、初期侵入の技術的ハードルが低下している。
コンフィグ・ファイルから認証情報を取得
侵入後の攻撃者たちは、show full-configuration コマンドを実行して FortiGate の完全なコンフィグ・ファイルを取得した。FortiOS は可逆暗号方式を使用してコンフィグ・ファイルを保護しているため、埋め込まれたサービス・アカウント認証情報は、攻撃者により復号された。特に、LDAP/Active Directory (AD) アカウントが標的とされ、内部ネットワークへのピボットが可能になった。
インシデント 1:IAB による活動と不正参加のワークステーション
最初のインシデントは、2025年11月下旬に侵害が開始された可能性が高く、その活動は 2026年2月まで検知されなかった。したがって、滞在期間は約 2 ヶ月となる。
アクセスを窃取した攻撃者たちは、FortiGate 上に “support” というローカル管理者アカウントを作成し、すべてのネットワーク・ゾーン間で制限のない通信を許可する、4 件のファイアウォール・ポリシーを追加した。
この期間における活動量の少なさは、不正なアクセスを確立/検証した後の Initial Access Broker (IAB) が、別の攻撃者へ販売する典型的な行動パターンと一致する。
2026年2月に攻撃者は、IP アドレス “193.24.211[.]61” から復号した fortidcagent サービス・アカウント認証情報を悪用して、Active Directory 認証を達成した。その後に、mS-DS-MachineAccountQuota 属性を悪用し、WIN-X8WRBOSK0OF/WIN-YRSXLEONJY2 の 2 台の不正ワークステーションを標的企業のドメインへ参加させた。
FortiGate アプライアンス IP からのパスワード・スプレー/SoftPerfect Network Scanner の痕跡により、セキュリティ・アラートが発生したことで、さらなるラテラル・ムーブメントは阻止された。
インシデント 2:RMM 展開と NTDS 流出
2 件目のインシデントは、2026年1月下旬に検出されたものだ。侵害した FortiGate デバイスに、“ssl-admin” というローカル管理者アカウントを作成した攻撃者は、その 10 分後に、復号したコンフィグ・ファイルから取得したドメイン管理者認証情報を使用して複数の内部サーバへログインした。
攻撃者は “C:\ProgramData\USOShared” にファイルを配置し、RMM (Remote Monitoring and Management) ツールである Pulseway/MeshAgent を展開した。それらは、Google Cloud Storage/AWS S3 上の攻撃者管理インフラから配布された。
MeshAgent は、Windows Registry の “SystemComponent=1” を設定することで、Programs and Features 一覧から非表示にされた。さらに攻撃者は、Java 名を装う悪意の DLL を用いた DLL サイド・ローディングにより、攻撃者のドメイン “ndibstersoft[.]com”/”neremedysoft[.]com” に対してビーコン通信を行った。
この攻撃の最終段階で脅威アクターは、プライマリ・ドメイン・コントローラの Volume Shadow Copy を作成し、makecab を使用して NTDS.dit ファイル/SYSTEM レジストリ・ハイブを抽出した。その後に、Cloudflare 所有の IP “172.67.196[.]232” への接続を通じて、圧縮アーカイブが外部へ送信され、ローカル・コピーは削除された。
緩和策
SentinelOne は、ログ保持の不足が調査を大きく妨げたと指摘し、それにより初期の侵入経路を正確に特定できなかったと述べている。ユーザー組織においては、FortiGate ログ保持期間を最低 14日に設定する必要があるが、強く推奨されるのは 60日 ~ 90日である。
主な防御対策は以下の通りである。
- Fortinet ファームウェア・パッチの即時適用:CVE-2025-59718/CVE-2025-59719/CVE-2026-24858 を修正するファームウェアを直ちに適用する。
- LDAP/AD 認証情報のローテーション:FortiGate アプライアンスに関連する LDAP/AD 認証情報を、侵害の疑いがある場合に必ず変更する。
- 管理アクセス制御の強化:ネットワーク境界デバイスのデフォルト認証情報/脆弱性な認証情報を排除し、強力な管理者アクセス制御を実施する。
- 不正管理者アカウントの監視:FortiGate アプライアンス上の “support”/”ssl-admin”/”helpdesk” などのローカル管理者アカウント作成を監視する。
- mS-DS-MachineAccountQuota の監査:ドメインへの不正なワークステーションの参加を防ぐため、設定を確認する。
- EDR テレメトリの監視:NGFW 自体には、エンドポイント検知ツールを導入できないため、隣接サーバの EDR テレメトリを積極的に監視する必要がある。
このインシデントが示すのは、複数の深刻な脆弱性が原因となり、被害が広がってしまう状況です。CVE-2025-59718/CVE-2025-59719 を悪用する攻撃者は、認証の仕組みの不備を突き、管理者権限を奪える状態になっていました。また CVE-2026-24858 というゼロデイ脆弱性により、本来は拒否されるべきアカウントでのログインが許可されたことも大きな要因です。それに加えて、デバイスの設定ファイルが復号しやすい方式で保存されていたことで、内部ネットワークで使用される大切な認証情報が盗み取られてしまいました。こうしたシステム上の弱点や設定の甘さが組み合わさることで、攻撃者に侵入の糸口を与えてしまったと言えます。よろしければ、CVE-2025-59718/CVE-2025-59719/CVE-2026-24858 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.