FortiGateのゼロデイ脆弱性がダークウェブで販売か

脅威インテリジェンス サービスを提供する「ThreatMon」や複数のサイバーセキュリティ観測者が、企業や官公庁でも広く導入されているFortinet社のFortiGateファイアウォールに関する深刻なゼロデイ脆弱性の販売情報が、著名なダークウェブフォーラムに掲載されたと報告しています。

この脆弱性が本物であれば、FortiOSに対する未認証のリモートコード実行（RCE）および全設定情報への不正アクセスが可能とされており、極めて重大なリスクとなります。

ダークウェブに掲載された脆弱性の概要

掲示された投稿内容によれば、以下の特徴があるとされています

• 未認証のままRCE（Remote Code Execution）を実行可能

• FortiOS上のすべての設定ファイルへアクセス可能

• ログイン不要で完全なデバイス制御が可能

設定ファイルの中には以下のような情報が含まれる

ファイル名	内容の概要
local_users.json	ローカルユーザー情報とパスワード（暗号化済）
admin_accounts.json	管理者権限、信頼関係、役割情報
two_factor.json	FortiTokenによる2要素認証の設定状況
その他	FWポリシー、NATルール、IP割当、内部資産情報

 

この情報が事実であれば、攻撃者は一切の認証を通過せずに、FortiGate機器を完全に掌握し、内部ネットワーク構成や資産マップを把握した上で、さらなる攻撃（横展開）に利用できることを意味します。

---

Fortinet製品はすでに狙われている

FortiGateを巡る攻撃は過去数年で急増しており、2023～2024年には複数の既知の脆弱性（CVE-2022-42475、CVE-2023-27997、CVE-2024-21762など）が悪用され、国家レベルの攻撃グループによる大規模侵入事例も報告されています。

その流れの中で今回のゼロデイ脆弱性が事実であれば、攻撃者がFortinet製品を優先的な標的として継続的にリサーチ・武器化している証左と言えるでしょう。

情報システム部門が取るべき対策

現時点ではFortinet社からこの脆弱性に関する正式な脅威アドバイザリは発表されていません。しかしながら、ゼロデイ脆弱性の闇市場流通が事実であれば、既に限定的または標的型攻撃での悪用が始まっている可能性も否定できません。

そのため、以下の予防的措置が強く推奨されます

1. SSL-VPNや管理UIのインターネット公開を遮断

• WAN側にUIが公開されている場合、侵入口となり得ます。

• 管理者アクセスはIP制限＋多要素認証（MFA）を必須化しましょう。

2. 外部通信ログとインターフェースログの即時確認

• 過去1週間以内の不審なPOSTリクエストや管理ポートへのアクセス記録を確認。

• 認証失敗ログ、アラート履歴、異常なセッション数もチェックしましょう。

3. システムの更新状況と構成を再点検

• FortiOSのバージョンが古い場合は、サポートされている最新安定版へアップデートを検討。

• 不要な管理者アカウントやテストアカウントが残っていないか確認してください。

4. セキュリティベンダ・SOCとの連携強化

• 該当のダークウェブ上情報が信頼できるものかを評価。

• 自組織でのYARAルール適用やSnortルールの最新化も推奨されます。

最後に：ゼロトラスト型管理体制への転換を

今回のようなゼロデイ脆弱性は、製品の堅牢性だけでなく、運用体制やアクセス制御ポリシーの脆弱性をも突いてくる性質があります。情報システム部門としては、ハードウェアやソフトウェアだけでなく、「アクセスはすべて疑って検証する」ゼロトラストの原則を基に、設定や運用ルールそのものを再評価する必要があります。

今後もFortinet社からの公式声明が発表され次第、続報としてお届けします。現段階では闇市場上の脅威情報であるため確証はありませんが、事前の備えが最大の防御であることを念頭に、組織全体での即応体制を整えておくことが求められます。