パッチ適用後も標的に？ 32万台超のFortiGateを襲った「FortiBleed」の正体：狙われたのは脆弱性ではない

FortiGateを狙った大規模な認証情報収集キャンペーンの存在が明らかになった。対象となった機器は32万台超。その中には比較的新しい更新プログラムが適用された装置も含まれていたという。攻撃者は何を狙い、どのように侵入経路を確保していたのか。

[＠IT]

　Fortinetの次世代ファイアウォール製品「FortiGate」を標的とした大規模な認証情報収集キャンペーン「FortiBleed」が展開されていることが明らかになった。

　発見の発端はセキュリティ研究者であるウォロディミル・“ボブ”・ディアチェンコ氏による調査とされている。攻撃者は世界各地の「FortiGate SSL VPN」装置を対象に膨大な規模の攻撃を実行し、取得した認証情報を侵入経路として利用していた。収集されたデータには数万件規模のFortiGate関連ドメインが含まれ、大手企業や重要組織の装置情報が記録されていた。

32万台超のFortiGate機器に約11億の攻撃を試行　「FortiBleed」の脅威

　調査によると、今回の攻撃キャンペーンはロシア語話者による複数運営者型グループの関与が指摘されている。攻撃基盤では、暗号解読ソフトウェア「Hashtopolis」で管理された45基のGPUクラスタが使用され、SSL VPN認証情報のハッシュ解読が進められていた。侵入後は「Active Directory」環境にアクセスし、組織内部で権限拡大や継続的な潜伏活動を実行していたとされる。

　報告によれば、32万7777台超のFortiGate機器に約11億6000万回の認証試行が実施された。加えて16万3650台超の「Microsoft SQL Server」に約21億回の総当たり攻撃も確認されていた。

　分析によると、7万3932件のファイアウォールURLが攻撃対象となり、194カ国で2万1632件のドメインが攻撃対象として確認された。また、対象数がインターネット公開状態にあるFortinetファイアウォールの約半数に相当する可能性を示した。

　被害は実際の侵害事例として確認されている。攻撃者が保有していたデータセット内にはFoxconnやSamsung、Comcast、Siemens、Lenovo、PwC、Accenture、Oracleなどの大手企業が含まれていたとされている。政府機関や重要インフラ関連組織も対象となっていた。国別では、日本や台湾、ベトナム、イラク、トルコの組織でネットワーク全体の侵害を示唆する痕跡が確認された。トルコのNATO関連防衛企業では機密防衛文書の持ち出しが発生したと報告されている。

　今回のデータが過去の脆弱（ぜいじゃく）性流出事案とは異なることも指摘された。記録された情報は比較的新しい侵害結果で構成され、比較的新しいパッチが適用された装置も含まれていた。流出データには企業種別や売り上げ規模、所在国などが整理されており、初期侵入権を売買する犯罪市場の形式と一致する特徴が確認された。

　技術面では認証情報保護方式も焦点となった。Fortinetは2025年初頭に管理者認証情報の保存方式を、計算コストを高めることでパスワード解析を困難にする方式PBKDF2に変更した。しかし更新後に管理者が再認証しなかった場合、旧来のSalt付きSHA-256形式が残存するケースが存在した。この状態では設定ファイル取得後のオフライン解析によるパスワード解読リスクが高まる。

　攻撃ログからは複雑なパスワードも多数解読されていたことが判明した。報告書は、文字数や記号の多さのみを基準としたパスワード運用では十分な防御にならない可能性を指摘した。影響国の上位にはインドや米国、台湾、メキシコ、トルコ、タイなどが並んだ。業種別ではITサービスや通信、建設、金融、政府機関、製造業、医療、教育分野など幅広い領域が含まれた。

　今回の事案は、インターネット公開機器と漏えい認証情報の組み合わせが大規模侵害へ発展する危険性を示した事例となった。認証情報管理だけでなく、外部公開範囲の見直しや多要素認証の適用も課題として浮上している。