1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Fortinetの脆弱性(CVE-2024-21762,CVE-2024-55591)を悪用したサイバー攻撃が拡大中

Fortinetの脆弱性(CVE-2024-21762,CVE-2024-55591)を悪用したサイバー攻撃が拡大中

セキュリティニュース

投稿日時: 更新日時:

Fortinetの脆弱性(CVE-2024-21762,CVE-2024-55591)を悪用したサイバー攻撃が拡大中

2025年6月6日、セキュリティ調査会社PRODAFTが BleepingComputerへ共有した情報によると、Fortinet製品の複数の脆弱性を狙ったQilin(別名 Phantom Mantis)によるランサムウェアによるサイバー攻撃が、世界的に拡大中であることを警告しました。特にスペイン語圏の企業・団体が集中的に攻撃を受けていますが、今後は地域を問わず被害が広がると見られています。

サイバー攻撃の概要

今回の攻撃では、Fortinet製のセキュリティ機器に存在していた複数の脆弱性が狙われました。中でも問題とされているのは、正規の認証を通さずにアクセスできてしまう“抜け道”のような脆弱性です。これを使えば、機器の管理画面や内部ネットワークに不正侵入される恐れがあります。

攻撃を仕掛けたのは、「Qilin(キリン)」というランサムウェアグループで、過去には「Phantom Mantis」「Agenda」といった名前でも活動していたとされています。彼らは2025年5月から6月にかけて、こうしたFortinet製品の脆弱性を足がかりにして、世界各国の組織に侵入を試みていたことが確認されました。

日本では、宇都宮セントラルクリニック原田工業へのサイバー攻撃と不正アクセスを主張しています。

今回特に悪用されたのは、「CVE-2024-21762」や「CVE-2024-55591」といった既知のセキュリティホールで、すでに修正パッチは提供されているものの、対応が遅れている機器が格好の標的になっている状況です。

CVE-2024-21762:FortiOS/FortiProxyの深刻な認証バイパス

この脆弱性は、Fortinetのファイアウォール製品「FortiOS」および「FortiProxy」に関わるもので、外部からのアクセスに対して認証を回避して侵入できるという重大な問題です。
2025年2月には米国のCISA(サイバーセキュリティ・インフラストラクチャ庁)も緊急性を認め、「実際に悪用されている脆弱性リスト」に追加。連邦政府の機関に対して、2月16日までに対策を完了するよう指示が出されたほどの深刻さでした。

ところが、それから約1か月後の時点で、約15万台ものFortinet機器が未対応のままインターネット上に残っていたことが判明しています。このように、対応の遅れがそのままリスクになっている現状があります。

CVE-2024-55591:ゼロデイで狙われた“見えない穴”

もう一つの脆弱性「CVE-2024-55591」は、2024年11月の時点ですでにサイバー攻撃に悪用されていた“ゼロデイ”脆弱性です。ゼロデイとは、脆弱性の存在が公開される前から攻撃者に知られて悪用されている状態を指します。つまり、防御のしようがないタイミングで使われた抜け穴だったわけです。

この脆弱性は、別の攻撃グループ「Mora_001」や、LockBitと関係があるとされる「SuperBlack」ランサムウェアによっても利用されており、すでに実績のある手口として危険視されています。今回のQilinによる攻撃でも同様に使われており、パッチを当てていないFortinet製品が依然として標的になっていると考えられます。

PRODAFTの分析:ターゲットは“選別型”ではなく“機会主義型”

PRODAFTによると、今回の攻撃キャンペーンは2025年5月から6月にかけて集中的に実施されており、特にスペイン語圏の組織が狙われているものの、明確な業種や地域の制限はなく、脆弱な機器を見つけ次第狙う傾向があると分析されています。

また、攻撃の一部は自動化されている可能性も高く、被害が急拡大するリスクがあると見られています。

情報システム部門が確認すべき対策ポイント

Fortinet製品のパッチ適用状況を即時確認

  • FortiOSおよびFortiProxy、FortiGateなどのファームウェアが最新であるか確認。

  • CVE-2024-21762、CVE-2024-55591に対応するアップデートが適用済かチェック

外部アクセス制御の強化

  • Fortinet機器への外部からの管理アクセスを遮断、またはVPN経由のみに制限。

  • 管理ポートの閉鎖や制限、IP制限ルールの確認。

ログ監視と侵入検知体制の見直し

  • 最近のログに異常なアクセス試行がないか確認。

  • IDS/IPSによる検知ルールが最新になっているかを確認。

バックアップと復旧計画の整備

  • 定期的なバックアップの取得と、ランサムウェア感染時の復旧フローの再確認。

 

参照

https://www.bleepingcomputer.com/news/security/critical-fortinet-flaws-now-exploited-in-qilin-ransomware-attacks/

https://catalyst.prodaft.com/welcome

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 株式会社イセトーがランサムウェア感染と被害を発表イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェアの事例を解説 Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表 大日本印刷の海外子会社CMIC CMO USAへ不正アクセス、ランサムウェアグループ Qilin がサイバー攻撃を主張大日本印刷の海外子会社CMIC CMO USAへ不正アクセス、ランサムウェアグループ Qilin がサイバー攻撃を主張 ランサムウェア 攻撃 グループが Google Chrome に保存された認証情報を盗むランサムウェア 攻撃 グループが Google Chrome に保存されたパスワードを盗む Fortinet、FortiOS の重大な脆弱性を修正(CVE-2024-40591)Fortinet、FortiOS の重大な脆弱性を修正(CVE-2024-40591)