2025年8月3日、セキュリティ企業GreyNoiseは、FortinetのSSL VPNを標的とした大規模なブルートフォース攻撃の急増を観測しました。 その日だけで780以上の異なるIPアドレスが「Fortinet SSL VPN Bruteforcer」タグに該当し、過去数か月で最大の攻撃量となりました。
この攻撃は偶発的なものではなく、明確な意図を持ってFortinetのFortiOS環境を標的にした集中的な攻撃だったと報告されています。
目次
過去のパターンと一致:脆弱性公開の予兆か
GreyNoiseのこれまでの研究によると、このような攻撃の急増は、同一ベンダーに関する新たな脆弱性公開の約6週間前に発生する傾向が強いことが判明しています。実際、今回のようなタグによる急激なトラフィックの増加は、将来的なCVE(脆弱性)公開との強い相関性が示されており、今後Fortinet製品の新たな脆弱性が公開される可能性があります。
二つの攻撃の波:継続的攻撃と突発的な新たな攻撃
GreyNoiseは、Fortinet SSL VPNに対する攻撃の2週間分のトラフィックを解析。その結果、異なる特徴を持つ2つの攻撃の波が確認されました:
-
第1波:一定のTCPシグネチャを持ち、長期的かつ安定的に続くブルートフォース攻撃
-
第2波:8月5日から突如として始まった別のTCPシグネチャによる集中攻撃
GreyNoiseはこの第2波に着目し、より詳細な調査を進めました。
攻撃対象の変化:FortiOSからFortiManager(FGFM)へ
解析の結果、第2波の攻撃ではTCPおよびクライアントシグネチャを組み合わせた「メタシグネチャ」を持つトラフィックが観測されており、このトラフィックはFortiOSではなく、Fortinetの管理システム「FortiManager(FGFM)」を一貫して狙っていたことが判明しました。
これは、同じ攻撃者インフラまたはツールが、異なるFortinetサービスへとピボット(標的変更)していることを示唆しています。
関連するIPアドレス例(抜粋):
31.206.51.194
23.120.100.230
96.67.212.83
104.129.137.162
180.254.147.16
185.77.225.174
一部の攻撃は家庭用ネットワークからか?
さらに興味深い点として、今回の攻撃と同一のクライアントシグネチャを持つトラフィックが6月にも観測されており、その発信元は米国の住宅用ISP(Pilot Fiber Inc.)のIPアドレスでした。
この事実は、攻撃ツールが最初は家庭内ネットワークからテストされた可能性を示しています。あるいは、住宅用プロキシが使われた可能性もあります。
セキュリティ管理者への提言
GreyNoiseのレポートでは、以下の対応を推奨しています
-
Fortinet SSL VPN Bruteforcerタグを活用し、類似トラフィックの検出と可視化を実施
-
GreyNoiseの動的IPブロックリストを使い、悪質なIPアドレスを即時遮断
また、Fortinet製品を使用している組織は、以下の点にも注意が必要です:
-
FortiOSやFortiManagerを含む製品の最新のパッチ適用
-
管理インターフェースの外部公開制限
-
ログの監視とブルートフォース攻撃の兆候の早期発見体制の構築
参照
https://www.greynoise.io/blog/vulnerability-fortinet-vpn-bruteforce-spike








