FortiGateのデバイス認証情報漏洩で被害者のメールアドレスが公開 JPドメインも確認|セキュリティニュース

投稿日時: 2025年01月24日更新日時: 2025年01月24日

ハッカー Belesn Groupと名乗る人物が、1万5千台のFortiGateのデバイス設定やVPN認証情報の窃取を主張しました。　今回被害者のメールアドレスが抽出され一部公開されました。なおJPドメインも含まれています。

被害者のメールアドレスリストの概要

情報セキュリティの専門家である Kevin Beaumont 氏は、漏洩した FortiGate 構成に関連付けられた IP アドレスと電子メールアドレスを GitHub にアップロードし、

同僚の研究者 Florian Roth 氏はそれらを個別に抽出し、トップレベルドメイン (TLD) でグループ化しました。

JPドメインでは日本の大手企業も含まれています。

Beaumont氏は、この公開の目的が、影響を受けた可能性のある組織を特定し、さらなる調査を進めるための情報を防御者に提供することだと述べています。

しかし、すべての設定ファイルに電子メールアドレスが含まれているわけではないため、このリソースがすべての被害者に役立つわけではありません。

Roth 氏のデータによれば、約5,000組織のドメインが含まれており、公開されたデータから恩恵を受ける可能性があります。

ただし、セキュリティコミュニティの一部では、このリストが完全なものでなく、漏洩したすべてのメールアドレスを網羅しているわけではないと指摘されています。

Fortinetは、この漏洩が本物であることを確認しましたが、セキュリティのベストプラクティスに従っている限り、ほとんどの組織はさらなる攻撃から安全であると述べています。

「セキュリティ認証情報を定期的に更新し、推奨される対策を講じていれば、現在の設定や認証情報が攻撃者によって悪用されるリスクは小さい」とFortinetは述べています。

一方で、Beaumont氏は漏洩した設定ファイルの中に約12,000件のIPsec VPNトンネル設定が含まれていると警告しています。

これにより、攻撃者はこれらのトンネルの鍵を入手し、影響を受けた組織の内部ネットワークに侵入する可能性があります。

一部参照