Fortinetをめぐる悪用危機の包括的分析と、なぜ病院ばかりが標的になり続けるのか
エグゼクティブサマリー
サイバーセキュリティ業界の注目がSonicWallの問題に集まる一方で、Fortinet製品は静かに、現代のランサムウェア攻撃において最も頻繁に悪用される攻撃ベクターのひとつとなっており、その被害の多くを医療分野が被っている。CISAの「既知の悪用脆弱性(KEV)」カタログに20件のCVEが掲載され、Qilin、Akira、Mora_001といったグループによる積極的な悪用が確認されていることから、Fortinetデバイスは病院、クリニック、医療サービス提供者を狙うランサムウェアオペレーターにとって、お気に入りの侵入経路となっている。
2024年だけで、医療分野は444件のサイバーインシデント(ランサムウェア238件、データ侵害206件)を報告しており、これは米国の重要インフラ分野の中で最多である。592件の規制当局への届出がHHSに提出され、その影響を受けたのは2億5900万人の米国人にのぼる。これら多くの攻撃の背後には、侵害されたFortinetファイアウォールが存在する。
これは理論上のリスクではなく、患者ケアを混乱させ、手術を中止させ、前例のない規模で機微な医療記録を露出させている、進行中の危機である。
現在進行中の危機:最近のFortinet悪用事例
2025年11月:FortiWebゼロデイ(CVE-2025-64446 & CVE-2025-58034)
攻撃概要:2025年10月、攻撃者はFortinetのFortiWeb Webアプリケーションファイアウォールにおけるパストラバーサル脆弱性CVE-2025-64446を悪用し、認証なしで管理者アクセスを取得し始めた。
事態を悪化させた要因:Fortinetは10月28日にこの脆弱性をひそかに修正したが、公表したのは11月14日であり、その間17日間が経過していた。しかも、実際に悪用されていることを認めたのは、セキュリティ研究者が独自に発見した後だった。
主なポイント:
- CVSSスコア:9.1〜9.8(クリティカル)
- 影響:デバイスの完全な乗っ取り、管理者アクセス
- タイムライン:10月初旬から悪用され、11月中旬に開示
- CISA KEVへの追加:2025年11月14日(是正期限7日)
- 2つ目の脆弱性:CVE-2025-58034(認証済みコマンドインジェクション)が、最初の脆弱性と連鎖して悪用されていることが判明
開示遅延の問題:Rapid7のセキュリティ研究者Ryan Emmonsは、次のように厳しく批判している。「攻撃者はしばしば先手を打つ優位性を持ち、防御側はベンダーの透明性に大きく依存している……ベンダーが製品の欠陥を把握しパッチを公開したのであれば、防御側には、可能な限り実行可能な情報を含んだ事前通知を行うことが不可欠だ。秘匿は、攻撃者を妨げるどころか、防御側をより深刻に傷つける。」
FortinetがCVE-2025-64446を公表した時点で、攻撃者はすでに1か月以上にわたりこの脆弱性を悪用していた。
2025年5〜6月:Qilinランサムウェアの協調キャンペーン
攻撃概要:2024年だけで5000万ドル超の身代金に関与した多作なランサムウェアグループQilinは、複数のFortinet脆弱性を同時に悪用する協調キャンペーンを展開した。
標的となった脆弱性:
- CVE-2024-21762(2024年2月にパッチ提供)
- CVE-2024-55591(2024年11月からゼロデイとして悪用)
- その他複数の脆弱性を、自動化・半自動化された攻撃で併用
医療分野への影響:
- Synnovisへの攻撃:ロンドンの複数の主要NHS病院における病理サービスを麻痺させた
- 1万件超の予約・処置がキャンセル(当初報告された700件超ではなく)
- 病院サービスは数週間にわたり混乱
- 地理的な焦点:当初はスペイン語圏諸国、その後世界的に拡大
脅威インテリジェンス企業PRODAFTは、「中程度の確信度」で、QilinがFortiGateの脆弱性を悪用して初期侵入を達成し、脆弱なデバイスを大規模にスキャン・侵害する半自動ツールを使用していたと評価している。
Qilinの台頭を詳細に分析した包括的レポートについては、こちらの記事を参照されたい:The Ransomware-as-a-Service Ecosystem in Late 2025: From LockBit’s Disruption to the Rise of Qilin, Akira, and DragonForce。
2025年1〜3月:Mora_001/SuperBlackランサムウェア
攻撃概要:解体されたLockBitオペレーションとの関係が疑われる新たなランサムウェアグループMora_001は、2つのFortinetのバグを悪用した後、「SuperBlack」と名付けられた新種のランサムウェアを展開した。
悪用された脆弱性:
- CVE-2024-55591(認証バイパス)
- CVE-2025-24472(代替パスを用いた認証バイパス)
LockBitとの関係:Forescoutの研究者は、SuperBlackがLockBit 3.0ランサムウェアと非常によく似ていることを突き止め、以下のいずれか、あるいは複数である可能性を示唆している:
- LockBit残党との現在の関係
- 2022年に流出したLockBit 3.0ビルダーの利用
- インフラやツールの共有
CISAの緊急対応:CISAは連邦機関に対し、CVE-2024-55591のパッチ適用期限としてわずか1週間しか与えなかった。これは過去最短クラスの期限であり、活発な悪用の深刻さを物語っている。
2025年5月:ゼロデイ悪用(CVE-2025-32756)
攻撃概要:複数の脅威グループが、FortinetのFortiVoice、FortiMail、FortiNDR、FortiRecorder、FortiCameraプラットフォームにおける重大なスタックベースのバッファオーバーフローを悪用した。
主なポイント:
- CVSSスコア:9.6(クリティカル)
- 影響:認証なしでのリモートコード実行
- 影響を受ける製品:ユニファイドコミュニケーション、メールセキュリティ、ネットワーク検知、映像監視
- 悪用状況:Fortinetはパッチ公開前に、実際の環境での悪用を確認
- CISA KEVへの追加:2025年5月
より広いパターン:GreyNoiseは、2025年初頭にFortinetデバイスを標的とするスキャン活動の急増を報告し、同様のトラフィックスパイクの80%は、過去において6週間以内のCVE公開に先行していたと指摘している。
医療:主たる被害者
なぜ医療分野はランサムウェアの「お気に入り」標的なのか
医療機関は、ランサムウェアの標的として理想的な条件が揃った「完全な嵐」に直面している:
- 生死に直結するプレッシャー:他分野と異なり、病院のダウンタイムは直接的に患者ケアへ影響し、身代金を迅速に支払わざるを得ない強い圧力が生じる
- 高い価値のデータ:医療記録はダークウェブ市場で高値で取引される
- レガシーシステム:多くの病院は、容易にパッチ適用できない旧式機器を稼働させている
- 限られたセキュリティ予算:ランサムウェア被害に遭った医療機関の42%が、「人員と能力の不足」を要因として挙げている
- 複雑な規制環境:HIPAAや州ごとの漏えい通知法が、コンプライアンス上のプレッシャーを増大させる
- 統合による巨大標的:病院の統合・合併により、より大きく、より魅力的な標的が生まれている
2024〜2025年の医療ランサムウェア大惨事
数字で見る状況:
- 2024年の報告インシデント444件(重要インフラ分野で最多)
- ランサムウェア攻撃238件(クリティカルマニュファクチャリングの258件に次ぐ2位)
- データ侵害206件
- HHS公民権局への規制当局届出592件
- 2億5900万人の米国人が影響を受けた(ほぼ全米人口に匹敵)
- 医療機関の66%が2024年にランサムウェア被害を経験(過去4年で最高)
2024〜2025年の主な医療インシデント:
Change Healthcare(2024年2月)
- 影響:1億9000万人の米国人(医療分野史上最大の侵害)
- 攻撃者:ALPHV/BlackCatランサムウェア
- 被害:全国的な処方箋処理が数週間にわたり混乱
- 議会の対応:上院公聴会、CMS/HHSの緊急権限強化を求める声
Ascension Health(2024年5月)
- 対象範囲:19州にわたる142病院
- 影響:560万人の患者
- ダウンタイム:電子カルテシステムが4週間オフライン
- 結果:診療の遅延、手作業による代替運用、患者安全への懸念
Blue Shield of California(2025年初頭)
- 影響:470万人
- 位置づけ:複数の医療提供者にまたがる一連の大規模インシデントの一部
HealthEquity(2024年3月)
- 影響:430万人の患者
- 侵入経路:侵害されたパートナー企業のデバイス
