FortiBleed：73,000端末分のFortinet VPN認証情報が漏洩との報道

FortiBleed：73,000端末分のFortinet VPN認証情報が漏洩との報道

BleepingComputer – June 17, 2026

新たに発見された流出データ集「FortiBleed」により、世界各地の組織が使用するFortinet・FortiGate VPNの認証情報とみられるものが数万件漏洩しているという。

この漏洩データを最初に発見したのは、セキュリティ研究者のBob Diachenko氏。「進行中の大規模Fortinet／FortiGateブルートフォース／アクティブエクスプロイトキャンペーンが見つかった」として、LinkedInに発見されたデータの一部を写したスクリーンショットを共有していた。この投稿によれば、見つかったサーバーには、ユーザー名・メールアドレス・平文パスワード等から成る有効なFotinet VPN認証情報とみられるものが含まれていたという。またこのデータには、各企業の業界や収益、従業員数といった情報に関するコメントも記載されており、将来の攻撃を計画しているかのような様子も伺えたとされる。

数日後にDiachenko氏は、調査結果のサマリーとして以下の見解を新たに共有。これらの調査結果は、同一サーバー上で意図せず漏洩していたさらなるファイルを分析して得られたものとされる。

• ロシア語話者のオペレーター複数名から成るグループが、世界中のFortinet FortiGate SSL VPNアプライアンスに対して大規模な認証情報ハーベスティングを実行しているものとみられる。
• このグループはSSL VPN認証情報を傍受し、Hashtopolisを介して管理される45台のGPUクラスター上でハッシュ値を解読し、内部のActive Directory環境へと侵入している。
• 日本、台湾／ベトナム、イラク、トルコにおける少なくとも4組織が完全に侵害されていた。これにはNATOの防衛請負業者であるトルコ組織も含まれ、同組織の機密防衛文書が抜き取られていたとされる。
• この攻撃では、320,777台のFortiGateターゲットに対して11億6,000万回の認証情報試行が行われ、163,650台のMSSQLサーバーに対しては21億回の試行が行われた。

Diachenko氏からデータセットを受領した脅威インテリジェンス企業Hudson Rockも、独自にこの漏洩データを分析。その結果をブログ記事にまとめ、Fortinet関連の漏洩認証情報集として知られているものの中では最も規模が大きいものの1つだと説明している。同社によれば、データセットには194か国にわたる73,932件（重複なし）のファイアウォールURLが含まれており、影響を受けるドメインの数は重複なしで21,632件に及ぶという。

攻撃者は成功した侵害に関する詳細なログを保持しており、あらゆる業界の組織に関する検証済みの認証情報を含んだデータセットを構築したとHudson Rockは説明している。データセットに含まれる企業にはFoxconnやSamsung、Comcast、Siemens、Lenovo、PwC、Accenture、Oracleなどの企業のほか、政府機関や重要インフラ事業者の名前もあったとされる。国・地域別では、インド、米国、台湾、メキシコ、トルコ、タイ、コロンビア、マレーシア、チリ、アラブ首長国連邦において影響を受けたデバイスの台数が特に多かったという。

同じくこのデータの一部を独自に分析したサイバーセキュリティ研究者のKevin Beaumont氏は、認証情報の一部は本物であるとBleepingComputerに伝えている。また分析結果をまとめたブログ記事において、データセットにはおよそ75,000台のFortinetデバイスに関する認証情報が含まれており、その大半が今なおオンライン状態である旨を伝えた。

Beaumont氏は、これらのデータにメールアドレスなどの通常は設定ファイルを通じてしかアクセスできない情報が含まれていることを踏まえ、データの出どころはFortinetの構成設定ファイルをエクスポートしたものなのではないかとの見解を示している。

また同氏によれば、今回のFortiBleed漏洩データにより影響を受けるIPアドレスは、2025年にハッキンググループ「Belsen Group」がリークしたFortinetのデータに含まれるものとは異なることから、FortiBleedはより新しく、より規模の大きな漏洩デバイスコレクションであろうことが示唆されているという。ただ、そもそもその構成設定データがどのように不正入手されたかについては、Diachenko氏もHudson RockもBeaumont氏も特定してはいない。

Beaumont氏はShodanのネットワークデータに基づき、FortiBleedの漏洩データにはインターネットからアクセス可能なFortinet製ファイアウォールの約半数が含まれていると述べ、影響を受けたデバイスの大半がFortiGateの管理インターフェースをインターネットに直接公開していると指摘した。

Hudson Rockは無料のFortiBleed検索ツールを公開しており、自組織が影響を受けるかどうかを調べられるようになっている。データセットに自組織が含まれていることが発覚した場合には、速やかにFortinet VPNおよび管理インターフェースに紐づくパスワードを更新し、多要素認証（MFA）を強制的に適用するとともに、ゲートウェイのログを調査して不審な活動がないか確認し、従業員の認証情報が公開されていないか監視する必要があるとのこと。