Fortinet FortiGateデバイスを侵害しファイアウォール設定盗む攻撃が観測される

佐々山 Tacos

2026.01.23

Fortinet FortiGateデバイスを侵害しファイアウォール設定盗む攻撃が観測される

BleepingComputer – January 22, 2026

1月15日以降、FortinetのFortiGateデバイスが不正アカウントの作成およびファイアウォール構成設定データの窃取を行う自動化された攻撃の標的になっているという。サイバーセキュリティ企業Arctic Wolfが報告した。

Arctic Wolfが1月21日に公開したブログ記事によれば、FortiGateデバイス上での不正な構成設定変更を伴う「悪意ある自動化されたアクティビティ」が、1月15日から観測され始めたという。このアクティビティでは永続性確保を意図したジェネリックアカウントが作成されるほか、作成したアカウントにVPNアクセスを付与するための設定変更がなされ、加えて、ファイアウォール構成設定が抜き取られていたとされる。

アカウント作成の際、攻撃者はデバイスのシングルサインオン（SSO）機能におけるなんらかの脆弱性を悪用。侵害されたファイアウォールアカウント上でのその後のアクティビティはそれぞれ数秒以内に行われたことから、自動化された攻撃だったことが示唆されるという。

Arctic Wolfは、「初期アクセスの詳細に関するパラメータは完全に確認が済んでいるわけではない」としながらも、今回の攻撃は、同社が12月に報告したインシデントと非常に類似していると指摘した。12月のインシデントは、Fortinet製品における重大な認証バイパスの脆弱性CVE-2025-59718およびCVE-2025-59719が開示された後に観測され始めたもので、1月の攻撃と同様に、悪意あるSSOログインと構成設定の抜き取りを伴うものだったとされる。なお、CVE-2025-59718およびCVE-2025-59719は、認証されていない攻撃者に、悪意を持って細工されたSAMLメッセージを通じてFortiGateファイアウォール上でのSSO認証バイパスを許すもの。ただし、悪用にはFortiCloud SSO機能が有効化されている必要がある。

Arctic Wolfは1月15日から観測され始めたアクティビティについて、「当初CVE-2025-59718およびCVE-2025-59719に対処したパッチで完全にカバーされているかどうかは現時点では不明」だと述べた。

そんな中、今回のArtic Wolfのアドバイザリが公開される直前には、複数のFortinetユーザーが脆弱性CVE-2025-59718の「パッチバイパス」を悪用したものと思われる攻撃について報告していた。攻撃の影響を受けた管理者らによると、12月にCVE-2025-59718の修正版としてリリースされたFortiOS 7.4.9は同脆弱性を完全に修正するものではないことを、Fortinetの開発者チーム自身が認めたという。管理者らはまた、「開発者チームは今後リリース予定の7.4.11、7.6.6、8.0.0での修正を予定している」とも伝えている。

詳しくはこちらの記事で：
パッチ済みのFortiGateがCVE-2025-59718経由で侵害された：管理者らが報告

さらに、影響を受けたFortinetユーザーらは攻撃に関するログも共有。これらのログは、攻撃者がIPアドレス「104.28.244.114」上の「cloud-init@mail.io」からSSOログインを行ったのち、管理者ユーザーを作成した様子を示していた。104.28.244.114もcloud-init@mail.ioも、Arctic Wolfによって検出されたIoCと一致しているという。

Fortinetがこれらの攻撃に対する完全なFortiOSの修正を行うまでの間、管理者らには一時的に脆弱なFortiCloudログイン機能を無効化しておくことが推奨される。