ロシア語圏のサイバー犯罪グループが、世界中の約7万4000台のFortinetファイアウォールおよびVPNゲートウェイの設定ファイルから認証情報を窃取していたことが明らかになりました。
このデータは、同グループが管理するサーバー上で他のツールや成果物とともに誤って公開された状態となっており、セキュリティ研究者のVolodymyr「Bob」Diachenkoがその露出を発見しました。
Diachenkoは先週末に警鐘を鳴らし、その後、複数の研究者が流出したデータセットの分析を進めています。
セキュリティ研究者のKevin Beaumont氏は「リストに掲載されているいくつかの組織と過去に連携したことがあるが、ログインIDとパスワードが本物であることを確認した」と述べています。
「サンプリングした多くのデバイスは、比較的新しいパッチを適用済みでした。データはデバイス自体からしか参照できない情報を含んでいることから、設定ファイルのエクスポートに由来するものと考えられます。」
認証情報が漏洩した経緯
Diachenkoによると、同グループはSSL VPN認証ハッシュを傍受する手法で大規模な認証情報の自動収集を行い、Hashtopolisで管理する45GPU構成のクラスターでハッシュを解析。取得したパスワードを足がかりとして、内部のActive Directory環境へ侵入していたとのことです。
Hudson Rockの研究者によると、同グループは194か国にまたがる7万3932件のユニークなファイアウォールURLを標的としていたと報告しています。
Beaumont氏は「被害を受けたデバイスの大多数で、FortiGate管理インターフェースがインターネット上に公開されている」と指摘しています。
2025年に流出した1万5000件以上のFortiGate設定ファイルはFortiGateアプライアンスのOS脆弱性を悪用して収集されたものでしたが、Fortinetは今回の「FortiBleed」と名付けられた漏洩には、過去のインシデントやブルートフォース攻撃を通じて収集されたデータが含まれているとみています。
Beaumont氏は、Fortinetが2025年初頭にパスワードの保存方式をより解析困難な方式(ランダムソルト付きPBKDF2)に移行して強化を図ったものの、多くのデバイスでは依然として旧来の脆弱な方式(ソルト付きSHA-256)が使われており、ブルートフォース攻撃による解析リスクが残ると指摘しています。
被害確認の方法
Hudson Rockは、各組織が自社のFortinet認証情報が漏洩データに含まれているかどうかを確認できる検索ツールを公開しました。
今回の漏洩では、Samsung、Siemens、Foxconn、Oracle、Accenture、DHL、Infosys、Fortinetなど大手企業をはじめ、多くの政府機関や重要インフラ関連組織も被害を受けています。
Diachenkoは「日本、台湾・ベトナム、イラク、トルコの少なくとも4組織が完全に侵害されており、トルコのNATO防衛関連企業では機密防衛文書が流出した」と明らかにしています。
Fortinetのファイアウォールやゲートウェイを使用している組織は、上記の検索ツールで自社のドメインやIPアドレスを確認し、リストに含まれていた場合は侵害を前提として、侵害されたアカウント、不正追加されたバックドアユーザー、改ざんされたセキュリティ制御の有無を確認することが推奨されます。
侵害の痕跡が見つかった場合は、全面的な調査を実施する必要があります。
被害を受けたデバイスは最新のFortiOSにアップグレードし、可能であれば管理インターフェースをインターネットから切り離すべきです。
Hudson Rockは、認証情報をローテーションし、すべてのアカウントで多要素認証を強制適用するとともに、管理者がログインしてシステムにパスワードのハッシュをより安全なPBKDF2方式で再計算させることを推奨しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
