「FortiBleed」漏洩事件、世界7万3,000台のデバイスのFortinet VPN認証情報を流出

「FortiBleed」と名付けられた新たなデータ漏洩事件が発覚し、世界中の組織が使用する73,932件のファイアウォールURLに紐付くFortinet製品およびFortiGate VPNの認証情報とみられるデータが露出していることが明らかになりました。

この漏洩データを最初に発見したのはセキュリティ研究者のBob Diachenkoです。同氏は、ユーザー名・メールアドレス・平文パスワードを含む、有効とみられるFortinet VPN認証情報が格納されたサーバーを発見したと述べています。

Diachenkoが共有したスクリーンショットと情報によると、データベースにはChevron、Samsung、Foxconn、Comcast、AT&T、Mercedes-Benz、Toyota、Sinopec、State Gridをはじめとする多数の企業のエントリが含まれています。

「Fortinet/FortiGateを標的とした大規模なブルートフォース・積極的悪用キャンペーンが進行中であることが明らかになりました」とDiachenkoはLinkedInに投稿しています。

「このようなファイルには大手ベンダーのインスタンスが数千件にわたって記載されています（スクリーンショット参照）。このファイルだけでもChevronからFortinet本社まで、21,634件のドメイン名が含まれており、すべてFortiGateアプライアンスへの有効とみられるパスワードがさまざまな手段によって入手されています。」

漏洩データには、攻撃計画のためとみられる各組織の業種・売上高・従業員数を記録したコメントも含まれていました。

Diachenkoはその後、この作戦がロシア語を話すマルチオペレーター型の脅威グループによるものであり、FortiGate SSL VPNデバイスの認証情報を収集していたと主張する追加情報を共有しました。

Diachenkoの調査によると、攻撃者は320,777台のFortiGateターゲットに対して約11億6,000万回、さらに163,650台のMicrosoft SQL Serverシステムに対して21億回の認証試行を実施したとされています。

同氏はさらに、脅威アクターがSSL VPNの認証ハッシュを傍受し、Hashtopolisで管理する45基のGPUクラスターを使ってクラックした後、解読した認証情報を利用して内部のActive Directory環境へ横展開（ラテラルムーブメント）を行ったと主張しています。

Diachenkoはこれらの詳細を、同じサーバー上に誤って公開されていた追加ファイルを解析することで入手したとBleepingComputerに語りました。

「彼らは誤って、アーティファクト・接続文字列・ツール類・スクリプト・データが含まれたディレクトリをオープン状態でオンラインに放置していました。cronジョブ・bashヒストリ・ログなどを通じて分析情報を取得できました」とDiachenkoは説明しています。

同研究者はさらに、日本・台湾・ベトナム・イラク・トルコの複数の組織が完全に侵害されており、トルコのNATO防衛関連企業から機密文書が盗まれたとされるケースも含まれると述べています。

脅威インテリジェンス企業のHudson Rockは、Diachenkoからデータセットを受け取った後、独自の分析結果を公開しました。同社はこのコレクションを、Fortinet関連の侵害済み認証情報として過去最大級のものと評しています。

Hudson Rockによると、データセットには194カ国にわたる73,932件のユニークなファイアウォールURLが含まれており、21,632件のユニークなドメインに影響を与えています。

同社によると、攻撃者は侵害に成功した詳細なログを保持しており、ほぼあらゆる主要業種の組織に対する検証済み認証情報を含むデータベースを構築していたとのことです。

Hudson Rockがデータセットに含まれると述べている組織には、Foxconn、Samsung、Comcast、Siemens、Lenovo、PwC、Accenture、Oracleをはじめ、多数の政府機関および重要インフラ事業者が含まれています。

同社が公表した統計によると、影響を受けたデバイスが最も多かった国は、インド、米国、台湾、メキシコ、トルコ、タイ、コロンビア、マレーシア、チリ、アラブ首長国連邦の順となっています。

リストに含まれる企業の業種として最も多いのは、通信、ITサービス、金融サービス、政府機関、医療機関、教育機関、製造業です。

この漏洩の奇妙な点として、露出した認証情報の多くが、通常であればクラックが困難とされる長くて複雑なパスワードであったことが挙げられます。

Fortinet設定ファイルからの抽出と推定

サイバーセキュリティ研究者のKevin Beaumont氏は独自に漏洩データの一部を検証し、一部の認証情報が本物であるとBleepingComputerに語りました。

「管理者のログイン情報とパスワードの一部について、その真正性を確認できました。これは実際の流出データのように見えます」とBeaumont氏は述べています。

Hudson Rockが共有したデータをさらに検証した後、Beaumont氏は追加の調査結果を公開し、データセットには約75,000台のFortinet製デバイスの認証情報が含まれており、その大部分が現在もオンライン状態であると指摘しました。

Beaumont氏によると、このデータには通常設定ファイル経由でのみアクセス可能なメールアドレスなどの情報が含まれていることから、エクスポートされたFortinet設定ファイルに由来するとみられます。

同氏はまた、影響を受けたIPアドレスが2025年のBelsen GroupによるFortinet漏洩事件のものとは異なると述べており、これがより最近の、より大規模な侵害デバイスのコレクションであることをさらに裏付けています。

Beaumont氏は、データセットに記載された複数の組織が有効な認証情報を使用していることを確認し、影響を受けたデバイスの多くが比較的新しいバージョンのFortiOSを実行していることも観察したと述べています。

「データは本物です。約75,000台のデバイスが対象です。ほぼすべてが現在もオンライン状態のFortinet製デバイスです。最近のデータのようです」とBeaumont氏は記しています。

ShodanのネットワークデータをもとにBeaumont氏は、この漏洩にはインターネットからアクセス可能なFortinet製ファイアウォール全体の約半数が含まれると述べており、影響を受けたデバイスの大半がFortiGate管理インターフェースをインターネットに直接公開していると指摘しています。

設定データの入手経路は現時点でも不明のままです。既知のFortinet脆弱性を悪用したものか、新たに発見された欠陥によるものか、あるいは別の手段によるものかは判明していません。Diachenko、Hudson Rock、Beaumont氏のいずれも、設定データが最初にどのように取得されたかを特定できていません。

Hudson Rockは、自組織が影響を受けているか確認するための無料のFortiBleedルックアップツールを公開しています。

データセットに含まれる組織は、Fortinet VPNおよび管理インターフェースに関連するパスワードを直ちにローテーションし、MFAを強制適用した上で、ゲートウェイのログを不審なアクティビティについて精査し、従業員の認証情報の漏洩を継続的に監視することが求められます。

BleepingComputerは漏洩データセットについてFortinetに問い合わせており、回答が得られ次第、本記事を更新する予定です。