FortiBleedはなぜ止まらない？ Fortinetが示した“次に確認すべきこと”：「パッチ適用済み」でも危険

7万台超のFortiGateに関する認証情報流出疑惑で注目を集めた「FortiBleed」。これに対してFortinetは、新たな脆弱性や製品侵害ではないとの見解を示した。その一方で、影響を受けた可能性がある組織には複数の緊急対応を要請している。なぜパッチ適用後もリスクが残るのか。

[＠IT]

　Fortinetは2026年6月19日（現地時間）、「FortiGate」機器を標的とした認証情報窃取キャンペーン「FortiBleed」に関する注意喚起を公開した。同社は、この活動が新たなFortinet製品の脆弱（ぜいじゃく）性を悪用するものではなく、過去の侵害事案などで流出した認証情報を再利用した攻撃である可能性が高いとしている。

　初期分析によると、攻撃者は過去に入手した認証情報を利用し、多要素認証（MFA）が導入されていない環境や脆弱なパスワード運用が残るFortiGate機器に対して総当たり攻撃を試みたとみられる。Fortinetは関連する過去のインシデントとして「FG-IR-26-060」および「FG-IR-25-647」を挙げている。

Fortinetが警告　新たな脆弱性ではなく認証情報の悪用

　Fortinetは今回の活動について、最近公開された脆弱性やセキュリティアドバイザリーとは無関係だと説明している。同社によれば、過去のアドバイザリーでは認証情報のリセットを含む修復手順を案内していたが、今回の活動はそうした対応が完了していない環境を狙った可能性がある。

　このため問題の本質は新たな脆弱性の発見ではなく、過去に窃取された認証情報が現在も利用可能な状態で残っていることにある。Fortinetは影響を受けた可能性がある顧客への連絡を進めているという。

　Fortinetは、影響を受けた可能性がある組織に対し、まず全ての管理者セッションおよびVPNセッションを終了させるよう求めた。

　その上で、管理者アカウントとVPNアカウントのパスワードを変更し、強固なパスワードポリシーを適用する必要があるとしている。また、管理者アカウントとVPN利用者に対するMFAの有効化も推奨した。

　今回の活動は、認証情報を保有する攻撃者がMFA未導入環境を狙った可能性があることから、MFAの有無が侵害可否を左右する重要な要素となる。

見覚えのないアカウントや設定変更がないかどうか確認を

　Fortinetは設定内容の確認も求めている。特に「forticloud」「fortiuser」「fortinet-support」「fortinet-tech-support」といった見覚えのないアカウントが追加されていないかを確認する必要があるという。

　また、ファイアウォールやVPN設定に不審な変更がないかどうかを確認し、可能であれば正常時のバックアップ設定と比較することを推奨している。ログについては、不明なIPアドレスからの管理者アクセスや予期しないVPN接続、権限変更、不審なアカウント作成などを重点的に調査するよう求めた。

　この他、同社は無許可の設定変更や不審なアカウント作成などが確認された場合、機器を侵害済みとして扱うべきだとしている。

　VPNユーザーの追加や予期しないパスワード変更、通常利用しない地域からのVPN接続などは、攻撃者による内部侵入や横展開の兆候である可能性がある。

　特に「Active Directory」やLDAPと連携している環境では、FortiGateだけでなく認証基盤側の侵害も想定し、追加アカウント作成や認証ログを調査する必要があるとしている。

　今回のFortinetの発表が示唆しているのは、脆弱性対策がパッチ適用だけでは完結しないという現実だ。攻撃者が過去に窃取した認証情報を保持している場合、機器を最新版に更新していても、認証情報の変更やMFA導入が実施されていなければ侵害のリスクは残る。FortiBleedは新たな脆弱性の問題というよりも、インシデント後の復旧措置がどこまで徹底されていたかを改めて問い掛ける事案と言える。