FortiBleed という偵察キャンペーンを検出:194 カ国にわたる 73,932 件の URL でログインチェック中

FortiBleed Attack Exposes Fortinet Firewall Credentials in 194 Countries

2026/06/17 hackread — Fortinet FortiGate ファイアウォールを標的とする、新たな攻撃キャンペーンにより、公開された VPN および管理者アクセスが危険な状況に置かれている。研究者たちは、この活動について、大手企業や公共部門組織に影響を及ぼす、数万件の検証済みファイアウォール・ログインと結び付けている。サイバーセキュリティ企業 Hudson Rock によると、研究者 Volodymyr “Bob” Diachenko が特定したデータセットには、194 カ国にわたる、一意の Fortinet ファイアウォール URL 73,932 件が含まれており、その影響を受けるドメインは 21,632 件に達するという。

Hudson Rock は、この活動を “FortiBleed” と名付け、ユーザー組織のドメインがデータセットに含まれているかどうかを確認するための、無料の検索ポータルを開設した。

Hudson Rock の調査結果であるスクリーンショットによると、露出データに記載された名称には、Samsung/Oracle/Foxconn/Comcast/Siemens/Lenovo/Spotify/Sony などの著名組織が含まれている。このデータには、政府/テレコム/製造/小売/物流/重要インフラの標的も含まれているように見える。

Image credit: Hudson Rock

このキャンペーンは、単純なパスワード・ダンプではないようだ。Diachenko の調査で判明したのは、ロシア語話者の複数のオペレーター・グループによる犯行である。具体的には、公開された FortiGate システム/過去の認証情報漏洩/インフォスティーラー・ログを悪用することで、大量アクセスをテストしていたと説明されている。

Hudson Rock によると、攻撃者たちは 320,000 件を超える FortiGate 標的に対して、約 11.6 億回の認証情報試行を実行した。さらに、160,000 件を超える MSSQL サーバに対して、21 億回のブルートフォース試行も実行したという。

ログインに成功した攻撃者は、標的化のための情報を検証済みデータベースに記録していた。そこから、この活動は自己増殖的に進行していく。ファイアウォール・アクセスを侵害した攻撃者は、VPN とゲートウェイのトラフィックを監視し、さらに多くの認証情報を収集し、後続の攻撃での再利用を視野に入れている。

Diachenko は、日本/台湾/ベトナム/イラク/トルコにおける、より深い侵害も報告している。その中には、機密防衛文書が盗まれたとされる、トルコの NATO 防衛請負業者も含まれている。これらの主張は、この記事を執筆するに当たり、公開資料において確認されたものであり、Fortinet から得られたものではない。

Redacted screenshot showing alleged Fortinet firewall login entries, affected domains, FortiGuard IDs, industries, and country codes. (Credit: Bob Diachenko)

ここでの技術的な懸念は、脆弱なパスワードだけではない。Hudson Rock の分析によると、ログインを成功させた認証情報の多くは、過去の侵害/インフォスティーラー感染/復元されたファイアウォール・データを通じて、すでに盗まれていた強固なパスワードだった。この状況では、パスワードの複雑性で保護することは不可能である。攻撃者は推測しているのではなく、すでに盗まれたパスワードを試しているのだ。

以前から、Fortinet が顧客に対して警告しているのは、インターネットに面した FortiGate の管理機能および VPN サービスには、厳格なアクセス制御/パッチ適用/慎重なコンフィグが必要になることだ。

同社の FortiOS 強化ガイダンスでも、FortiGate システムをデプロイまたは保守する際には、デフォルトパスワード/証明書/公開された管理ポート/SSL VPN アクセスを確認するよう、管理者に助言している。

Fortinet デバイスを使用している組織は、この報告をベースに迅速に行動すべきだが、パニックに陥る必要はない。

最初に取るべき対応は明確である。FortiGate の管理者および VPN 認証情報をローテーションし、すべての外部アクセスに MFA を強制し、管理インターフェイスを信頼済み IP 範囲に制限する必要がある。それに加えて、不審なログイン履歴をゲートウェイ・ログで確認し、未使用アカウントを削除し、FortiOS デバイスに対してパッチが完全に適用されていることを確認すべきだ。

Hudson Rock の FortiBleed ポータルでは、影響を受けたドメインを検索し、詳細の開示を要求するためのサービスが提供されている。問題を発見した企業は、露出した認証情報が犯罪者の手に渡っていると想定し、封じ込め/パスワード・ローテーション/ログ確認を直ちに開始すべきである。

訳者後書:今回のキャンペーンは、FortiGate へのリモート接続を受け付ける防壁の出入り口に対して、過去の漏洩や端末の感染により盗み出されていた正規のパスワードを用いて、膨大な回数のログイン検証を組織的に試みるというものです。この事象による影響は、強固な合言葉であっても認証を突破され、通信内容を傍受や内部侵入の足場として登録されるというものです。対抗策としては、外部からの接続用のアカウント情報を速やかにローテーションするとともに、管理画面へのアクセスを所定の場所からだけに制限し、二要素認証の義務化を取り入れ、守りを固めることが大切になります。ご利用のチームは、ご注意ください。よろしければ、FortiGate での検索結果も、ご参照ください。