FortiBleedの攻撃者、認証情報盗むためカスタムFortiGateスニッファを使用か | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > FortiBleedの攻撃者、認証情報盗むためカスタムFortiGateスニッファを使用か

デイリーサイバーアラート

Silobreaker-CyberAlert

FortiBleedの攻撃者、認証情報盗むためカスタムFortiGateスニッファを使用か

佐々山 Tacos

佐々山 Tacos

2026.06.23

FortiBleedの攻撃者、認証情報盗むためカスタムFortiGateスニッファを使用:SOCRadarが報告

BleepingComputer – June 22, 2026

Fortinet FortiGateデバイスを狙う大規模キャンペーン「FortiBleed」では、侵害されたファイアウォールから認証情報を盗み取るためのカスタムスニッファが使用されていたと、セキュリティ企業SOCRadarが報告。Fortinet自身は6月19日のFortiBleedに関する声明で、新たな脆弱性やインシデントというより過去にすでに侵害されていた漏洩認証情報を集めたデータベースであると述べていたものの、SocRadarの報告はこのキャンペーンが現在進行形でFortiGate VPNデバイスを侵害していることを示唆している。

 

FortiBleedは漏洩Fortinet VPN認証情報を集めたデータ集で、含まれる認証情報は世界各地のファイアウォールURL8万件超に紐づくものだとされる。Fortinetデバイスのほか、パロアルトネットワークスのUnit 42は、MSSQLデバイスを標的にしようとする試みも観測した旨、またSophosデバイスが標的になっているとする報告を観測した旨を明かしている

 

SOCRadarによればこのキャンペーンは2026年2月から行われており、標的になったFortiGateファイアウォールは世界に43万台以上あるという。

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

FortiBleed:73,000端末分のFortinet VPN認証情報が漏洩との報道

佐々山 Tacos

佐々山 Tacos

2026.06.18

Silobreaker-CyberAlert

SOCRadarがFortiBleedに関して新たに報告した調査結果の1つが、これらの認証情報を収集するためにGo言語ベースのツール「FortigateSniffer」が使われていたというもの。このツールはFortiOSに内蔵されている診断用スニッファパケット機能「diagnose sniffer packe」コマンドを悪用し、認証トラフィックをキャプチャする性能を持つとされる。

 

SOCRadarによれば、脅威アクターはまずクレデンシャルスタッフィングやブルートフォース攻撃を通じて管理者アクセス権を取得すると、侵害したFortiGateデバイス上にFortigateSnifferを展開したとされる。同ツールが悪用したdiagnose sniffer packetコマンドは本来、接続や認証、ネットワークパフォーマンスの問題に関するトラブルシューティングでの使用を意図したもの。しかし脅威アクターはFortigateSnifferにおいてこのコマンドを悪用し、KerberosやLDAP、SMB、RADIUS、RDP、WinRM、Microsoft SQL Server、MySQL、PostgreSQL、SMTP、IMAP、POP3、FTP、Telnetなどの認証プロトコルおよびリモートアクセスサービスに関するトラフィックをモニタリングしているという。

 

こうしてFortiGateデバイスから集められたパケットデータはその後、「SNIFTRAN」というコンポーネントを通じて処理され、PCAPファイルへと再編成され、Pythonベースの「PCAP Deep Analysis Toolkit」を通じて解析されるとSOCRadarは報告。このツールキットにより、平文の認証情報やパスワードハッシュ、Kerberosチケット、NTLM認証マテリアル、Eメール認証情報、データベース認証情報、およびその他の認証アーティファクトが抽出されるという。

 

続いてこのツールキットはNTLMおよびKerberosのハッシュを含むファイルを生成し、SMTP、IMAP、POP3、MySQL、RADIUSなどのプロトコルから、利用可能な場合は平文の認証情報を抽出したとされる。ハッシュ化された認証情報の解読は、分散型GPUクラスター上で動作するGPUベースのパスワード解読ツール「Hashcat」を使用して行われたと伝えられている。

 

SOCRadarとは別にFortiBleedに関する新たな報告を行ったサイバーセキュリティ専門家のKevin Beaumont氏は、侵害されたデバイスからFortiGateの構成設定ファイルをダウンロードすることも、ハッシュ化された認証情報を不正に入手する手段になっていると述べている。Beaumont氏によれば、攻撃者はその後、このファイルからハッシュ化された認証情報を抽出し、Hashcatおよび36基のエンタープライズクラスのGPUを利用して、これらを解読するという。

 

Beaumont氏は、パスワードの解読は「GPUの演算能力を貸し出しているあるGenAI企業でホストされていた」と指摘。攻撃者は、通常社内AI用に使われることの多いエンタープライズ性能のGPU36基をレンタルし、AI関連のタスクに使用する代わりにパスワード解読に使用していたと述べた。これにより、大規模かつ高速に解読を行うことができるとされる。

 

SOCRadarとBeaumont氏、いずれの報告も、攻撃者のサーバー上でGPU専用の解読プラットフォームの存在が確認された事実を説明できる内容となっている。

 

Beaumont氏は今回のキャンペーンで標的となったIPアドレスのリストを公開しており、FortiGateデバイスを利用している組織には、このリストを参照して標的になったあるいは侵害されたシステムがないかを調べることが推奨される。

関連資料をダウンロード

デジタル時代における世界の紛争

デジタル時代における世界の紛争

地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...

資料ダウンロード
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...

資料ダウンロード

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ