FortiBleed 続報:FortigateSniffer というツールで最大規模の認証情報窃取を展開

Hackers Using FortigateSniffer Tool That Turns Compromised Firewalls Into Password Collectors

2026/06/23 CyberSecurityNews — FortigateSniffer と呼ばれる Golang ベースのカスタム・ツールが、金銭的な動機を持つ脅威アクターにより、世界中の 430,000 台を超える FortiGate ファイアウォールに展開された。遅くとも 2026年2月以降に、この攻撃者は 1 億 1,000 万件を超える認証情報を密かに収集しており、その中には NATO と連携する防衛請負業者から流出したデータも含まれる。

SOCRadar の Threat Research Unit (STRU) が調査した、このキャンペーンは FortiBleed と名付けられたものであり、ネットワーク境界デバイスを標的とする認証情報窃取作戦として、これまでに記録された中でも最大規模のものである。

この脅威アクターは、金銭目的の Initial Access Broker (IAB) だとみられており、2026年6月中旬まで継続的に活動し、659 回の個別収集サイクルを実行しており、この記事の執筆時点でもインフラの一部は稼働している。ツール内にキリル文字によるコメントが含まれていることから、ロシア由来の可能性が示唆されており、ランサムウェア・グループまたは国家支援型アクターとの関連も考えられる。

米国の CISA は、大規模な認証情報露出に関する報告を受け、Fortinet デバイスを保護するよう組織に警告する緊急アドバイザリを発行している。

FortigateSniffer ツールがファイアウォールを侵害

中核となる武器は FortigateSniffer であり、fg_sniffer としても追跡されている。Golang ベースのツールとして、Linux 向けの fg_sniffer_linux_amd64 と Windows 向けの fg_sniffer_windows_amd64.exe としてコンパイルされており、インターフェイス全体はロシア語で構成されている。

Looks like Training module (Source: SOCRadar Threat Research Unit)

このツールは、マルウェアをデプロイするものではなく、FortiOS に標準搭載されている diagnose sniffer packet 診断コマンドを悪用する。それにより、侵害したファイアウォールを通過する全認証トラフィックを、24 種類のプロトコルにわたって受動的に傍受する。その対象として含まれるのは、RADIUS/NTLM/Kerberos/LDAP/RDP/SMB/MSSQL/FTP/Telnet/WinRM などである。

生の SSH ターミナル出力は、傍受後に SNIFTRAN エンジンにより .pcapng 形式へと変換される。その後に、PCAP Deep Analysis Toolkit (v5.0) で処理され、平文認証情報/NTLMv2 ハッシュ/Kerberos TGS ASREP チケット/セッション Cookie などが抽出される。

このツールには、2 種類の回避手法も組み込まれている。1 つは、バイナリ検索に最適化された ipgeo.csv を使用する、GeoIP ベースのフィルタリングである。もう 1 つは、営業時間に合わせたスケジューリングであり、異常アラートを営業時間外に発生させないよう、Moscow Time の 07:00〜18:00 にはアクティブなパケット収集を制限する。

この作戦は、以下のような体系的な 5 段階のライフサイクルに従う。

フェーズ 1:偵察および認証情報の収集

攻撃者は、広範なポート・スキャンに Masscan を使用し、SSL/証明書メタデータ経由の受動的な情報強化には Shodan_Recon を使用する。また、FortiProbe-fast により、標的を FortiGate/非 FortiGate/応答なしに分類する。続いて、match_corps.pymerge_revenue.pybuild_report.py などのカスタム・スクリプトを使用し、企業の売上高に基づいて順位付けを行う。これは、無差別な日和見攻撃ではなく、経済的価値を意識した意図的な標的選定を示している。

フェーズ 2:認証情報の組み合わせと初期アクセス

gen_rotator ツールは、ホストと認証情報の直積による combo ファイルを生成する。これらは、16 種類の製品固有ワードリストを使用して、FortiGate 管理者アカウントへの SSH ブルートフォース攻撃を行う mpbrute2.bin に渡される。また、最大 25,000 スレッドで動作する forticheck に対しては、SSLVPN ポータルへの認証情報スタッフィングのための情報として渡される。

フェーズ 3:Sniffer のデプロイと認証情報収集

有効な SSH 認証情報を取得した攻撃者は、侵害した各 FortiGate にログインし、FortigateSniffer を注入してデバイスを受動的なリスナーへ変換する。観測されたデプロイメントでは、6,127 台のデバイスが読み込まれ、SSH 認証の成功率は 90% に達している。作戦終了時には、ssh.txt に 237,330 件の有効な FortiGate SSH 認証情報が取り込まれていた。

フェーズ 4:クラックとラテラル・ムーブメント

収集した NTLM/Kerberos/RADIUS ハッシュは、Hashtopolis で管理される Hashcat GPU クラスタを使用してクラックされる。この環境には、vast.ai から動的にレンタルされた演算能力が追加されている。専用の Telegram bot が、1 台から 6 台の GPU を動的に割り当て、リアルタイム・クラックを提供する。続いて、spray_da.pysmb_test.pyspider.pyad_full_audit.py などのラテラル・ムーブメント・ツールが Active Directory 環境を横断する。

フェーズ 5:データ流出

backup_dfs.py は SMB を介して、完全な DFS 共有を再帰的に抽出し、ローカルでのステージングを行わずに、攻撃者の SSH サーバへと直接ストリーミングする。2026年6月15日に、172 件の Kerberos RC4 ハッシュをオフラインでクラックした後に、攻撃者は NATO と連携する防衛請負業者に対し、標的を絞った DFS バックアップの流出を実行した。

SOCRadar の Threat Research Unit によると、このキャンペーンにより、80,553 台の FortiGate アプライアンスにまたがる 23,406 件の固有ドメインが露出した。被害組織の 66% は、従業員数 200 人未満であり、影響を受けた全ドメインの 42.3% を 51〜200 人の組織が占めている。この規模の組織は、FortiGate を導入する一方で、専任者によるセキュリティ運用体制を持たないことが多い。

影響を受けた業種としては、被害組織の 8.4% を占める IT サービスが最多である。顧客環境への後続アクセスを最大化するための、意図的な標的選定とみられる。地域別では、インドの11.4% と米国の 10.1% が上位を占め、それに続くのが、台湾/メキシコ/トルコである。

主な IoC

カテゴリ指標説明
Aggregator / C285.11.187[.]8Pentest Lab Host
Aggregator / C2193.8.187[.]2Credential Validation
Aggregator / C2193.8.187[.]42Sniffer Node
Aggregator / C2193.8.187[.]26Sniffer Node
Aggregator / C2194.113.39[.]71Sniffer Node
Aggregator / C277.91.122[.]13Sniffer Node
SHA-2564d0b62d3162d4be391e3ba1e191dad28e5e5d5b161cfdef60eeb4361a92d8413fg_sniffer_linux_amd64
SHA-25680d83eb01f28c87a61b51f1f83805e63a791905f019bd3b87f10a10f66efab1efg_sniffer_windows_amd64.exe
SHA-2562c98c86e6bd6f46cbd6c89d855541b9da91515b1bb986641a77e31c5c6aa2abbmpbrute2.bin
SHA-256a8b09fd4f7ff2f298b45ca602992f44b3c2ac3746bcdb182c59ab2a20c690954forticheck

注:IP アドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化されている (例:[.] )。再度有効化するのは、MISP、VirusTotal、または SIEM など、管理された脅威インテリジェンス・プラットフォーム内に限定すべきである。

このキャンペーンは、2026年6月中旬時点でも活動を続けており、sniffer 操作および harvestresults ディレクトリは継続して更新されている。