「FortiBleed」：Fortinetファイアウォール73,000台以上が大規模な認証情報収集キャンペーンに遭う

攻撃手法：ゼロデイではなく、ただの衛生状態の悪さ

名前はHeartbleedを連想させますが、FortiBleedはソフトウェアの脆弱性とはまったく関係ありません。TechCrunch、SOCRadar、Hudson Rock、Arctic Wolfを含む複数のセキュリティ企業が、未知の脆弱性（ゼロデイ）は使用されていないことを確認しています 。

代わりに、攻撃者は次のような2段階のサプライチェーンアプローチをとりました：

• ステップ1：情報窃取型マルウェアから認証情報を収集。 Fortinet管理画面やVPNポータルの認証情報は、最初に情報窃取型マルウェアに感染した従業員や管理者の端末から盗まれました 。
• ステップ2：露出した設定からパスワードハッシュを解読。 初期アクセスを獲得した攻撃者は、インターネットに公開されたFortiGateデバイスから設定ファイルを抽出し、保存されていたSSL VPNパスワードのハッシュを45GPUクラスターを使用して解読しました。これは弱い、または変更されていないパスワードを悪用しています 。

SOCRadarは、攻撃者がインターネットに面したFortiGateデバイスから少なくとも30,791の確認済み動作認証情報を収集したことを確認しています 。Arctic Wolfの独立した分析でも、侵害されたデバイスの推定数は30,000～75,000台であることが確認されています 。

著名な被害者

複数の報告書で名前が挙がっている確認済みの被害者には、Accenture、Comcast、Foxconn、Lenovo、Oracle、Samsung、Siemens、PwC、そして少なくとも15カ国の政府機関が含まれています 。Reutersは、侵害されたデバイスの大半が米国、インド、台湾にあると報じています 。

分析されたデータによると、最も大きな打撃を受けた業界は以下の通りです：

• ITサービス（マネージドサービスプロバイダー、クラウド運用）
• 建設資材（大手多国籍サプライヤー）
• 電気通信（ティア1キャリアおよびISP）

複数の情報源がこれら3つを最も影響の大きい業種として特定しています 。

同時発生した関連攻撃

FortiBleedと同時期に、研究者らは同じ脅威グループによるものとみられる、16万台以上のインターネット公開MSSQLサーバーに対する21億回のブルートフォースログイン試行を観測しました 。

攻撃元の特定

SOCRadarとHudson Rockはともに、このキャンペーンをロシア語を話す複数オペレーターの脅威グループによるものとしています 。攻撃者は、侵害されたデバイス上でcronジョブ、テレメトリー、ライブ認証情報収集ループを含む活動的なバックエンドインフラを維持しており、これは一回限りのデータ搾取ではなく、洗練された継続的な作戦であることを示しています 。

推奨される対応

Hudson Rock、Arctic Wolf、Fortinetを含むセキュリティ企業は、Fortinetデバイスを使用するすべての組織に対し、以下の即時対応を推奨しています：

• 全てのFortiGate管理者およびSSL VPNアカウントの認証情報を直ちに強制変更する 。
• すべてのVPNログインに多要素認証（MFA）を導入する – これは認証情報スタッフィング攻撃に対する最も効果的な対策です 。
• デバイスログを監査し、不正な設定エクスポート、不明なcronジョブ、異常なVPNセッションがないか確認する 。
• 管理インターフェースへのアクセスを信頼できるIPのみに制限する。管理UIやSSHを決してパブリックインターネットに公開してはいけません 。

無料の露出確認ポータル

Hudson Rockは、73,932台のデバイスからなる認証情報ダンプに対して、組織が自社のドメインを検索できる無料の確認ポータルを公開しました。このツールは2026年6月17日から18日にかけて広く告知されました 。