Hackers Exploit Critical Fortinet FortiSandbox Flaws in Active Attacks
2026/06/16 gbhackers — Fortinet FortiSandbox アプライアンスに存在する、複数の深刻な脆弱性を標的とする積極的な悪用の試みを、セキュリティ研究者たちが報告した。それにより、エンタープライズ・セキュリティ・インフラに対する侵害の懸念が高まっている。Defused Cyber が共有した脅威インテリジェンスによると、新たに開示された CVE-2026-39813/CVE-2026-39808/CVE-2026-25089 などの脆弱性が、過去 24 時間以内に悪用され始めている。
深刻な Fortinet FortiSandbox の欠陥
FortiSandbox は、高度なマルウェアを検出/分析するためにエンタープライズ環境で広く使用されている。その一方で、検出回避や内部ネットワークへの侵入を狙う脅威アクターにとって、価値の高い標的となっている。
これらの脆弱性の悪用に成功した攻撃者は、サンドボックス保護のバイパス/任意コード実行/分析結果の操作などを引き起こす可能性がある。その結果、組織の防御が根底から損なわれる恐れがある。
特定された脆弱性の中で、最も深刻な脆弱性 CVE-2026-39813 は、今回の観測において初めて悪用が報告されたものである。したがって、情報の公開後に急速に武器化された可能性、あるいは、標的型攻撃で秘密裏に悪用されていた可能性を示している。脆弱性 CVE-2026-39808 も、進行中の悪用試行に関与しているが、攻撃ベクターに関する詳細な技術情報は現時点で限定的である。
興味深いことに、脆弱性 CVE-2026-25089 は悪用が報告されているが、現時点では、動作が確認された公開エクスプロイトは存在しない。この脆弱性の武器化における初期のコードは “vibecoded” なものに見える。つまり、攻撃者はまだエクスプロイト開発を試行中であるか、不完全な proof-of-concept コードを使用している可能性がある。
このばらつきが示すのは、脅威環境の進化である。攻撃者は、部分的に機能するエクスプロイトを、実環境でテストすることが多い。
FortiSandbox 脆弱性の積極的な悪用が浮き彫りにするのは、従来型のエンドポイントではなくセキュリティ・インフラを標的化するという、多くの攻撃者が用いる戦術の傾向である。脅威を検出するためのツールを侵害する攻撃者は、セキュリティ運用内に死角を作り出し、長期的な永続化を確立する可能性がある。
Fortinet FortiSandbox を使用している組織に対して強く推奨されるのは、利用可能なセキュリティ・アドバイザリを確認し、リリースされるパッチの速やかな適用である。さらに、予期しないアウトバウンド接続や不規則なファイル分析パターンなど、サンドボックス活動に関連する異常な挙動がないか、ネットワーク・トラフィックとシステムログを監視すべきである。
現在、Fortinet は悪用の試みをリアルタイムで追跡しており、早期検出を支援するインジケータとテレメトリを提供している。セキュリティ・チームは、ネットワーク・セグメンテーションを実装し、サンドボックス管理インターフェイスへのアクセスを制限することで、露出を低減することも検討すべきである。
悪用活動が進化し続ける中、完全に機能するエクスプロイトが公開され、さらに精錬された攻撃手法が展開される可能性があると、セキュリティ研究者たちは見ている。
状況は流動的であるため、ユーザー組織に求められるのは、Fortinet および脅威インテリジェンス・プロバイダーからの更新を監視しながら、高い警戒態勢を維持することである。
訳者後書:FortiSandbox のセキュリティ脆弱性が悪用されているとのことです。高度なマルウェアを検知する防衛設備そのものが、内部への侵入を狙う攻撃者にとって、きわめて魅力的な標的になります。この記事で触れられているCVE-2026-39813/CVE-2026-39808 は、2026/04/14 の「Fortinet の 11 件の脆弱性が FIX:FortiSandbox/FortiOS/FortiAnalyzer/FortiManager に影響」で解説されています。ただし、CVE-2026-25089 に関しては、アドバイザリの発行日が 6月9日となっているため、新規の脆弱性となります。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.