Fortinet、攻撃で悪用されているFortiWebのゼロデイを密かに修正：CVE-2025-64446

佐々山 Tacos

2025.11.17

2025年11月14〜17日：サイバーセキュリティ関連ニュース

Fortinet、攻撃で悪用されているFortiWebのゼロデイを密かに修正していた：CVE-2025-64446

BleepingComputer – November 14, 2025

Fortinetは11月14日、FortiWebにおける重大なゼロデイ脆弱性CVE-2025-64446に関するセキュリティアドバイザリをリリース。この脆弱性が実際の攻撃で悪用されていること、10月28日に修正されていたことを明かした。CERT Orange CyberdefenseのX投稿によると、同脆弱性は「大規模に」悪用されているという。

CVE-2025-64446を悪用した攻撃が最初に特定されたのは10月7日。これについて報告したのは脅威インテリジェンス企業のDefusedで、同社はXでの投稿において、ローカル管理者レベルのアカウントを作成する目的でFortinet製品に対する「未知のエクスプロイト」が使われている旨を報告。この脆弱性がCVE-2022-40684の亜種である可能性にも言及していた。

それ以降攻撃の件数は増加したとされ、11月13日にはwatchTowr Labsがエクスプロイトの実演動画をXで公開。併せて脆弱なデバイスを特定するためのツール「FortiWeb Authentication Bypass Artifact Generator」をリリースした。またサイバーセキュリティ企業Rapid7もブログ記事でこの脆弱性について注意喚起。バージョン8.0.2へのアップデート後、ネットに出回るPoCエクスプロイトが使えなくなったことが確認されたとして、同脆弱性の影響を受けるのが8.0.1以前のバージョンのFortiWebである旨を報告していた。

watchTowrとRapid7からの報告が上がった時点でFortinetのPSIRTサイトには該当するFortiWebの脆弱性について開示しているページは存在していなかったとされ、CVE識別子も不明だった。しかし11月14日、Fortinetは「Path confusion vulnerability in GUI」と題したPSIRTアドバイザリをリリース。この中で、当該脆弱性（CVE-2025-64446）について開示し、「Fortinetはこれが実環境で悪用されていることを観測済みです」と記した。

アドバイザリによればCVE-2025-64446はFortiWebにおけるパストラバーサルの脆弱性で、認証されていない攻撃者に悪用された場合、細工されたHTTPまたはHTTPSリクエストを通じてシステム上で管理者コマンドを実行される恐れがあるものだとされる。また同アドバイザリでは、この脆弱性が10月28日にリリースされたFortiWeb 8.0.2および以下のバージョンで修正されていることも明かされた。

FortiWeb 7.6.5以降（影響を受けるバージョン：7.6.0〜7.6.4）
FortiWeb 7.4.10以降（影響を受けるバージョン：7.4.0〜7.4.9）
FortiWeb 7.2.12以降（影響を受けるバージョン：7.2.0〜7.2.11）
FortiWeb 7.0.12以降（影響を受けるバージョン：7.0.0〜7.0.11）

また14日には米CISAも同脆弱性をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加し、米連邦政府機関へ11月21日までのパッチ適用を命じた上、個別のアラートも公開して注意を呼びかけている。

ECが計画するデータ保護法改正はデジタル権の「後退」、市民社会が批判

The Record – November 15th, 2025

ヨーロッパの127の市民団体および労働組合は11月13日、欧州委員会（EC）宛ての公開書簡を発表。ECが予定しているとされる、GDPR・eプライバシー指令・データ法・EU AI法の中核的条項を無力化するような改正内容に反発した。

ECは11月20日に新たなデジタル法簡素化パッケージ「デジタルオムニバス」を正式に発表する予定だが、今月初めにその内容がリークされ、ニュースメディアMLexが最初に改正案について報道していた。報道内容によれば、ECが計画している法改正には以下のような変更が含まれるとされる。

Cookie使用に関して市民の同意を得ることを義務付けた規則の弱体化
GDPR第9条における機微なデータの保護を弱体化
より多くの個人データが、AIシステムの訓練および運用のための処理を許可されることに
AI開発者に課されている、公的データベースへの登録義務を廃止

など

これを受けて127組織から成る市民団体・労働組合の連合が公開した書簡は、「すべての人のデータ安全性を保ち、政府に説明責任を負わせ、人々をAIシステムに自らの人生機会を左右される事態から守り、究極的には抑制の効かない監視から社会を守る」という役割を果たしている「ヨーロッパ最強のデジタル脅威に対する保護」が、改正案により「解体されることになる」と非難。ECが方針を展開しない限り、「EU史上最大のデジタル基本権の後退」になるだろうと訴えてECに方針展開を促した上、デジタルオムニバス法案の手続きが、民主主義的な監視の目を免れるために性急かつ不透明な形で行われている点についても批判した。

The Record紙はこれについてECにコメントを求めたものの、同委員会の広報担当者から速やかな返答は得られなかったとのこと。