【要確認】Fortinet製品の認証情報漏えい(FortiBleed)― FortiGateの資格情報リセットとMFA有効化を

Fortinet製品(FortiGate)の設定情報および認証情報が外部に漏えいした事案(通称:FortiBleed)について、JPCERT/CCが2026年6月23日付で注意喚起を発出した。漏えいした認証情報を悪用してIPsec VPNトンネルへの不正ログインが行われた事例がすでに確認されている。本件は特定の脆弱性(CVE)に起因するものではなく、流出済みの資格情報の悪用という性質上、パッチ適用では対処できない。FortiGateを運用するすべての組織は、ただちに認証情報のリセットと多要素認証(MFA)の有効化を検討すべき状況にある。
何が起きたのか
攻撃者は何らかの手段によってFortiGate機器に侵入し、設定情報をエクスポートした。この設定情報には認証情報が含まれており、それが外部に漏えいした。さらに攻撃者は、漏えいした認証情報を使用してIPsec VPNトンネルへのログインを試み、実際に不正アクセスに成功した事例が確認されている。重要なのは、本件が単一の脆弱性に対するエクスプロイトではない点だ。認証情報そのものがすでに攻撃者の手に渡っている以上、ファームウェアの更新だけでは侵害を止められない。資格情報の無効化・再発行という対処が不可欠となる。
自組織が影響を受けるかの確認
JPCERT/CCの注意喚起では、FortiGuardライセンス登録時に申請したメールアドレスのドメインを用いた照会方法が案内されている。ただし、運用をSIerや委託先に代行させている場合、登録ドメインが自組織のものではなく委託先のドメインになっているケースがある。この場合、照会結果に自組織の機器が表示されないことがあり、「照会で出なかった=影響なし」と判断するのは早計だ。委託先に登録ドメインを確認した上で再照会することが必要となる。また、サイト間IPsec VPNで対向拠点を信頼ゾーンに設定して常時接続している組織は、自組織の機器が直接侵害されていなくても、対向拠点の侵害機器を踏み台に被害が波及するリスクがある。接続先組織の対応状況の確認も求められる。
対応策
- 資格情報のリセット FortiGateのローカル管理者アカウントおよびVPNユーザのパスワードをリセットする。漏えいした認証情報が有効なままでは、攻撃者のアクセス経路が残存し続ける。具体的なリセット手順は公式情報で確認のこと。
- 多要素認証(MFA)の有効化 VPN接続および管理インターフェースへのアクセスにMFAを適用する。資格情報が再び漏えいした場合でも、認証情報単体では侵害が成立しにくい構成とすることが目的だ。設定方法は公式情報で確認のこと。
- 侵害調査 設定情報がエクスポートされた痕跡(ログ上の不審な操作履歴)、VPNログへの不審なログイン記録、および内部のActive Directory環境における不審なアクティビティ(新規アカウント作成・権限変更・横展開の痕跡等)を確認する。詳細な確認手順はJPCERT/CCの注意喚起を参照。
「照会なし=安全」ではない。委託先ドメインを確認せよ。
Omamori AI の結論
- 事実:FortiGateの設定情報・認証情報が漏えいし、その資格情報を使ったIPsec VPN不正ログインがすでに確認されている。単一CVEの問題ではなく、漏えい済み資格情報の悪用事案である。
- 判断軸:「パッチを当てていれば大丈夫」という従来の境界機器対応の思考枠組みが通用しない。資格情報の有効期限を管理する運用設計と、MFAによる多層認証の有無が、被害の有無を分ける分岐点となる。
- 打ち手:①委託先への登録ドメイン確認と照会の再実施、②管理者・VPNユーザの認証情報リセット、③MFA有効化、④AD・VPNログの侵害調査、⑤サイト間VPN対向拠点の対応状況確認、を順次実施する。詳細手順はJPCERT/CCの注意喚起を一次情報として参照のこと。
経営者視点で考えるべきこと
境界機器の認証情報が漏えいした場合、脆弱性パッチの適用では状況を「元に戻す」ことができない。攻撃者がすでに有効な資格情報を保持しているという前提で対応しなければならない。これは、認証情報のライフサイクル管理とMFA運用が境界機器においても不可欠であることを示している。加えて、運用委託先やサイト間VPNの対向拠点まで含めた確認範囲の広さが、今回の事案の実務的な難しさだ。「自社の機器は問題ない」という確認だけでは不十分であり、サプライチェーン全体を視野に入れたリスク管理の観点が求められる。


