FortiBleed 認証情報窃取キャンペーン、ランサムウェア グループ INC、Lynxがサイバー攻撃に悪用か

セキュリティニュース

投稿日時: 更新日時:

FortiBleed 認証情報窃取キャンペーン、ランサムウェア グループ INC、Lynxがサイバー攻撃に悪用か

セキュリティ企業SOCRadarの脅威リサーチチーム(STRU)は2026年7月1日、当サイトでも継続して取り上げてきたFortiBleedについて、この大規模な認証情報窃取キャンペーンがランサムウェアグループのINC RansomおよびLynxへ直接つながっていることを確認したと発表しました。

これまでFortiBleedは、FortiGate機器から認証情報を窃取する情報収集活動として扱われてきましたが、今回の発見によって、窃取された認証情報が実際にランサムウェア展開の入口として使われている実態が具体的な証拠とともに裏付けられた形です。当サイトでは以前、JPCERT/CCによる国内被害の確認や、Fortinetによる公式見解(既存の認証バイパス脆弱性の悪用であり新規のゼロデイではないという説明)を取り上げてきましたが、今回の続報はその先の被害段階、つまり窃取された認証情報がどのように収益化されているかを明らかにするものです。

サマリー

  • SOCRadarの脅威リサーチチームは2026年7月1日、FortiBleedのインフラを操作する運用者の1人が、ランサムウェアグループINC RansomとLynxの両方の交渉パネルへ同時にログインしていた形跡を確認したと発表した
  • この発見は、FortiBleedのインフラに属するWindowsサーバー1台の運用上の不備によって、内部ファイルやログ、運用文書が外部から閲覧できる状態になっていたことがきっかけで明らかになった
  • 別途発見されたINC Ransom関連の公開ディレクトリと、FortiBleed側が保持していた標的データを突き合わせたところ、両者に重複する被害組織が確認されており、運用者の同一性を裏付ける独立した根拠になっている
  • SOCRadarは約150カ国、11,250件のFortiGateポータルへのスキャン活動を確認しており、うち409件で管理者レベルのアクセスに成功、354件ではVPN侵害からドメインコントローラーへのアクセス、ドメイン管理者権限の奪取までの一連の攻撃チェーンが完了していた
  • これまでに少なくとも12件のランサムウェア展開がこの認証情報アクセスに起因すると確認されており、複数の組織で数百台規模のエンドポイントが暗号化されている
  • FortiBleedの運用は約20人体制の組織的な分業構造を持つとみられ、コラボレーションツールNextcloudの未修正のゼロデイ脆弱性も保有し、アクセス拡大の手段として利用しているとされる。標的はラテンアメリカとアジア太平洋地域の製造業・技術系企業・物流業が中心
  • SOCRadarは、FortiBleedを運営する初期アクセスブローカー(IAB)とINC・Lynxのランサムウェア運営主体は別の組織であり、IABが窃取したアクセス権をランサムウェア側が対価を払って利用する、いわばアクセス供給の分業構造にあると評価している
項目 内容
公表日 2026年7月1日(SOCRadar脅威リサーチチーム)
対象キャンペーン FortiBleed(FortiGate機器を狙う大規模認証情報窃取キャンペーン)
新たに判明した関連先 ランサムウェアグループINC Ransom、Lynx
発見の経緯 FortiBleedインフラに属するWindowsサーバー1台の運用上の不備により内部情報が閲覧可能に
スキャン規模 約150カ国、FortiGateポータル11,250件
管理者アクセス成功数 409件(うち354件で攻撃チェーンが完了)
ランサムウェア展開の確認件数 少なくとも12件、数百台規模のエンドポイントが暗号化
運用体制 約20人規模、役割分担のある組織的な運用
その他の手口 Nextcloudの未修正ゼロデイ脆弱性を保有、アクセス拡大に利用

何が起きたか

FortiBleedは2026年6月に発覚した、インターネットに公開されたFortiGateファイアウォールおよびSSL VPNゲートウェイを標的にした大規模な認証情報窃取キャンペーンです。当サイトで既報の通り、Fortinet自身は本件について、新規の脆弱性を突いたものではなく、過去に修正済みの認証バイパスの脆弱性(CVE-2026-24858、CVE-2025-59718、CVE-2025-59719)を通じて漏えいしていた認証情報が、パッチ適用後も変更されないまま悪用され続けた結果だという見解を示していました。今回のSOCRadarの発表は、この認証情報が実際にどのように使われていたのかという、被害の川下側を明らかにするものです。

SOCRadarは、FortiBleedのインフラに属するWindowsサーバー1台に運用上の不備があり、外部から内部のファイルやログ、運用に関する文書が閲覧できる状態になっていたことを発見しました。SOCRadarのCISOであるEnsar Seker氏によれば、このサーバーは標的リストや収集済みのデータ、自動化スクリプト、設定ファイルなどを含む、攻撃活動を調整するためのステージングおよび運用調整用のサーバーとして機能していたとされています。このサーバーの内部を調査したところ、ある運用者がINC RansomとLynxという2つのランサムウェアグループの交渉パネルへ、それぞれ同時にログインしていた形跡が確認されました。SOCRadarはこの様子を示すスクリーンショットを海外メディアへ提供しており、被害者との交渉に使われるダッシュボード画面が実際に表示されています。

運用者の同一性が確認された経緯

この発見を裏付けるもう一つの根拠が、被害組織データの重複です。SOCRadarは、別途発見していたINC Ransom関連の公開ディレクトリに含まれる標的・被害者情報と、FortiBleed自身の運用インフラに保持されていた標的データを突き合わせました。その結果、両方のデータセットに共通して登場する被害組織が確認されており、同じ組織が認証情報窃取キャンペーンとランサムウェアグループの双方から標的として把握されていたことが、独立した形で裏付けられています。1つの証拠だけでなく、運用者のログイン形跡と被害データの重複という2種類の異なる根拠が揃ったことで、SOCRadarはこの関連性についてかなり高い確度を持って評価しています。

なお、Lynxは2024年半ばに登場したランサムウェアグループで、セキュリティ研究者の間では新規のグループというよりもINC Ransomの発展形、あるいは事実上のリブランドとして扱われることが多いグループです。もともと関連が指摘されていた2つのブランドを、同一の運用者が両方の交渉パネルにログインするという形で扱っていたことが確認された点は、この2つのグループの関係性を裏付ける材料としても興味深いところです。

攻撃の到達度合いを示す数字

SOCRadarが公表した数字を見ると、この認証情報窃取キャンペーンがどこまで実害につながっているかがうかがえます。約150カ国、11,250件のFortiGateポータルへのスキャン活動が確認されており、そのうち409件で管理者レベルのアクセスに成功しています。さらにそのうち354件では、VPNの侵害からドメインコントローラーへのアクセス、そしてドメイン管理者権限の奪取までという、組織のネットワーク全体を掌握できる水準まで攻撃チェーンが完了していたとされています。この354件という数字は、単に認証情報が盗まれたというレベルにとどまらず、攻撃者が組織の中枢まで到達していたことを意味しており、深刻度の高さを物語っています。

この規模のアクセスを踏まえ、SOCRadarはこれまでに少なくとも12件のランサムウェア展開がこの認証情報アクセスに起因すると確認しており、複数の組織で数百台規模のエンドポイントが暗号化される被害が発生しています。海外メディアの報道では、認証情報の窃取からランサムウェアの展開までの期間はおおむね30日から60日程度と推定されており、FortiBleedによる侵害を受けた組織は、その時点で実害が出ていなくても、今後1〜2カ月の間にランサムウェア攻撃を受けるリスクを抱え続けている状態にあると考えるべきだとされています。

Nextcloudのゼロデイと標的の広がり

SOCRadarはさらに、FortiBleedの運用者が、オープンソースのファイル共有・コラボレーションプラットフォームであるNextcloudに存在する未修正のゼロデイ脆弱性を少なくとも1件保有しているとみられると報告しています。

SOCRadarはこの脆弱性についてNextcloud側との調整を進めているとしていますが、Nextcloud側は海外メディアの取材に対し、SOCRadarから報告を受け取っていないとコメントしており、詳細は本稿執筆時点で確定していません。SOCRadarの評価では、このNextcloudの脆弱性は初期侵入そのものというよりも、侵入後のアクセス拡大の段階で利用されているとみられています。

あわせて、FortiBleedの運用インフラの中からは、Citrix関連の環境を対象とした約29,000件のIPアドレスと37件のドメインを含む標的リストも見つかっており、この自動化された攻撃の枠組みがFortinet製品だけにとどまらず、他のリモートアクセス関連製品へも転用されうる可能性を示しています。組織の運用体制については、内部の追跡文書から約20人規模で役割分担のある体制であることが分かっており、少数の主要な運用者が影響度の高い侵入を主導し、それを専門スタッフや支援要員が支える構造だと説明されています。標的の傾向としては、ラテンアメリカとアジア太平洋地域の製造業・技術系企業・物流業が中心とされており、日本国内の組織についても当サイトで既報の通りJPCERT/CCが独自に被害を確認しています。

原因はIABとRaaSの分業構造にある

今回の発見が示す最も重要な点は、FortiBleedという認証情報窃取の活動自体と、INC・Lynxというランサムウェアの展開活動が、同一の組織による一気通貫の攻撃ではなく、初期アクセスブローカー(IAB)とランサムウェアグループの分業という、サイバー犯罪エコシステムの構造そのものを反映しているという評価です。

SOCRadarは、FortiBleedを運営しているとみられるロシア語圏の初期アクセスブローカーと、INC・Lynxのランサムウェア運営主体は別の組織であり、ランサムウェア側がIABの持つアクセス権を対価を払って利用する、いわゆるアクセス供給層としての関係にあると評価しています。

言い換えれば、大量の認証情報を効率的に収集する専門集団と、実際に金銭を要求して収益化する専門集団が、それぞれ別の役割を担いながら連携しているということです。この分業構造こそが、単一の脆弱性や単一のキャンペーンが、複数のランサムウェアブランドの被害へと同時並行的に波及していく背景にあると考えられます。

情報システム部門への示唆

FortiGate機器を運用している組織にとって、今回の続報が示す教訓は明確です。当サイトで以前紹介した対策(FortiOSの最新化、管理者アカウントの再ログインによるハッシュ形式の更新、認証情報のリセット、多要素認証の有効化)を実施済みであっても、それだけでは今回のような下流でのランサムウェア展開まで防げるとは限りません。FortiBleedによる認証情報アクセスを受けた可能性がある組織は、単なる認証情報の漏えい対応にとどまらず、すでにドメイン管理者権限を奪取されている前提で、ドメインコントローラーのログや不審な管理者アカウントの作成履歴、横展開の痕跡を確認する侵害調査を実施することをお勧めします。

また、認証情報の窃取からランサムウェア展開までにはある程度の時間差があるとされているため、初回のFortiBleed関連の報道が出た時点で対応を終えたと考えず、継続的な監視体制を数カ月単位で維持することが重要です。加えて、今回Citrix関連の標的リストが見つかっていることからも分かる通り、この種の攻撃基盤はFortinet製品に限定されず、他のリモートアクセス製品にも展開されうる汎用的な枠組みとして運用されている点は、Fortinet以外のリモートアクセス機器を運用している組織にとっても他人事ではありません。自組織で利用しているVPNゲートウェイやリモートアクセス機器全般について、管理者アカウントの認証情報が長期間変更されていないものがないか、この機会にあわせて棚卸しすることをお勧めします。

出典