企業ネットワークの守りの要であるファイアウォールが、逆に攻撃の踏み台にされていた。米フォーティネットの主力製品「FortiGate(フォーティゲート)」を狙った大規模な認証情報窃取キャンペーン「FortiBleed(フォーティブリード)」により、世界で43万台を超える機器が侵害され、1億1,000万件超の認証情報が抜き取られた疑いが浮上している。
標準コマンドを悪用した盗聴
セキュリティ各社によると、この攻撃は2026年2月ごろから続いている。攻撃者はFortiGateに侵入したうえで、FortiOSに標準搭載された通信解析コマンド「diagnose sniffer packet」を悪用し、機器を流れる通信からユーザー名やパスワード、パスワードのハッシュ値をリアルタイムで抜き取っていた。境界防御の警報を鳴らさずに情報を盗み続ける、巧妙な手口だという。
攻撃の中核には、24種類の通信プロトコルを同時に監視する独自開発の「FortiGateSniffer」と呼ばれるツールが使われていた。プログラム内のコメントにキリル文字が使われていることから、ロシア語話者による犯行とみられている。多要素認証(MFA、複数の手段で本人確認する仕組み)が設定されていない機器や、使い回されたパスワードが主な侵入口となった。
被害は中小組織に集中
被害は中小組織に集中している。被害先の約66%が従業員200人未満、約9割が年間売上1億ドル未満の企業だった。フォーティネットは、管理者用とVPN用のパスワードを直ちに再設定し、すべての管理者・VPN利用者に多要素認証を導入するよう強く呼びかけている。
日本への影響
FortiGateは、コスト性能の高さから日本国内でも官公庁や中小企業、地方の医療機関などで幅広く使われています。今回の手口は特定の新たな欠陥ではなく、初期パスワードの使い回しや多要素認証の未設定といった「基本対策の不備」を突くものであるだけに、対策が後手に回りがちな国内の中小組織にとって人ごとではありません。
日本は欧米に比べて多要素認証の導入が遅れているとの指摘もあり、JPCERTコーディネーションセンターなども継続的に注意喚起を行っています。VPN機器を社外に公開している組織は、管理者パスワードの即時変更、不要な外部公開の停止、多要素認証の有効化を急ぐ必要があります。認証情報が一度流出すれば、ランサムウェア(身代金要求型ウイルス)攻撃の入り口として悪用される危険もあり、取引先を含めたサプライチェーン全体での点検が求められます。
まとめ:守りの製品が攻撃の入り口に変わる時代だからこそ、基本のパスワード管理と多要素認証を今日から見直しておきたいところではないでしょうか。
出典:
Recorded Future – Critical FortiBleed Campaign
Dark Reading – FortiBleed turns firewalls into credential stealers
Fortinet – Analysis of reported credential compromise
Photo: FlyD / Unsplash
