ハッカーが1万5千台のFortiGateのデバイス設定やVPN認証情報の窃取を主張

ハッカー Belesn Groupと名乗る人物が、1万5千台のFortiGateのデバイス設定やVPN認証情報の窃取を主張しました。 サイバーセキュリティの専門家Kevin Beaumont 氏によると2022年の脆弱性(CVE-2022–40684)が公開されたタイミングのデータで本物の可能性が高いとしています。

1月24日追記：被害者のメールアドレスが公開 JPドメインも確認

ハッカーの犯行声明

2025年は世界にとって幸運な年になるでしょう。

年の始めに、前向きなスタートを切り、さらに私たちのグループの名前を記憶に刻んでいただくため、私たちは初の公式な作戦を誇りを持って発表します。

その内容:
15,000を超える対象（政府機関および民間部門）からハッキングにより抽出された機密データの公開。

公開されるデータ:

1. IPアドレス
2. パスワード
3. 設定情報（Configs）

また、分かりやすくするために、対象を国ごとに分類しました。

そして最大の驚き:
このすべての機密で重要なデータを、Belesnグループからの贈り物として、完全無料で提供いたします。

CVE-2022–40684 のゼロデイに関連か

Kevin Beaumont 氏によるとこの漏洩は、修正がリリースされる前に攻撃で悪用された、CVE-2022–40684 として追跡されている 2022 年のゼロデイに関連していると考えられると述べています。

またこの漏洩したデータのダンプ内のデバイスは Shodan にリストされており、同じ一意のシリアル番号を共有しているため、このダンプが本物であることが確認できました。

ダンプは国別に並べられています。各フォルダには IP アドレスが含まれ、各 IP アドレスには config.conf (完全な Fortigate 構成ダンプ) と vpn-users.txt (プレーンテキストの資格情報リスト) が含まれます。

画像：2022 zero day was used to raid Fortigate firewall configs. Somebody just released them.

またKevin Beaumont 氏によると「ダンプに表示されたユーザー名とパスワードがデバイスの詳細と一致することも確認できました」としており漏洩したデータは本物の可能性が高いです。

悪用されるFortinetのゼロデイ攻撃

CVE-2022–40684は当時からゼロデイ攻撃の悪用が確認されています。

直近2025年1月には、FortinetがFortiOSとFortiProxyの脆弱性 CVE-2024-55591を悪用したゼロデイ攻撃を警告しているので該当する方は早期に対応する事をお勧めします。