米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年6月19日、Fortinet製デバイス利用者に対し、「FortiBleed」と呼ばれる大規模な認証情報流出事案を受けて直ちにセキュリティ対策を講じるよう緊急警告を発出した。流出した認証情報はファイアウォールおよびVPNゲートウェイを合わせて約7万3,932件に上り、世界中の政府機関・民間企業が攻撃の標的とされている。

FortiBleedとは何か

本事案を最初に発見したのは、セキュリティ研究者のVolodymyr「Bob」Diachenko氏だ。氏はインターネット上の公開サーバーに、Fortinet VPNのユーザー名・メールアドレス・平文パスワードが含まれる大量の認証情報が格納されているのを発見した。データには対象組織の業種・売上・従業員数まで付随しており、将来の攻撃計画に活用するために意図的に整理された可能性が高いとDiachenko氏は指摘している。

脅威インテリジェンス企業Hudson Rockによる分析では、このデータセットは2万1,632のユニークドメイン・194か国に及ぶ、既知最大規模のFortinet認証情報コレクションの一つと評価されている。影響を受けた組織にはSamsung、Mercedes-Benz、Foxconn、Chevron、AT&T、トヨタに加え、通信・医療・金融・製造業の重要インフラ事業者や多数の政府機関が含まれる。被害デバイス数が多かった国はインド、米国、台湾、メキシコ、トルコの順で、日本は直接名指しされていないものの194か国という規模を考えれば無縁ではない。

攻撃の背景——ロシア語圏グループによる組織的活動

Diachenko氏の調査によれば、今回の攻撃はロシア語圏の脅威グループによるもので、32万以上のFortiGateターゲットに対して約11億6,000万回もの認証試行を実施し、SSL VPN認証ハッシュを傍受したとされる。

ただし、認証情報の具体的な入手経路は依然として不明だ。既知の脆弱性の悪用なのか、新たなゼロデイなのか、それとも別の手法なのかは確認できていない。セキュリティ専門家のKevin Beaumont氏は独自調査で一部認証情報の正当性を確認しており、「データは本物で、対象デバイスのほぼすべてが依然オンラインのままだ」と改めて警鐘を鳴らしている。

CISAが求める即時対応

CISAはFortiGate利用者に対し、以下の対応を直ちに実施するよう求めている。

  • 全SSL VPNセッションおよび管理セッションの即時終了
  • VPNおよび管理者パスワードの全件リセット
  • フィッシング耐性のある多要素認証(MFA)の有効化
  • 不正アクセスや横方向移動(ラテラルムーブメント)の痕跡をログで確認
  • 管理者認証情報をPBKDF2ハッシュアルゴリズムで保護
  • ファイアウォール管理インターフェースをパブリックインターネットから切り離し、不正アカウントを削除

Hudson Rockは無料の「FortiBleed lookup tool」を公開しており、自組織のデバイスが対象に含まれるかどうかを確認できる。

実務への影響——日本のIT現場でいま何をすべきか

FortiGateは日本国内でも企業・官公庁を問わず広く採用されているVPNゲートウェイ・ファイアウォール製品だ。今回の流出データが悪用された場合、外部からの侵入口となるだけでなく、内部ネットワークへの横展開(ラテラルムーブメント)の起点にもなりかねない。優先度順にアクションをまとめると以下の通りだ。

  • インターネットに公開されているFortiGate機器の棚卸しと管理インターフェースへのアクセス制限
  • VPN利用者・管理者アカウントのパスワード全件強制リセット
  • MFAが未導入なら即刻導入(FIDO2/WebAuthn等のフィッシング耐性を持つ方式が望ましい)
  • 過去30〜90日分のログを確認し、不審なアクセスや認証失敗のスパイクを調査
  • FortiSandboxを利用している場合は追加の脆弱性情報を確認(別途、複数の重大脆弱性が攻撃に悪用されているとの報告がある)

筆者の見解

今回のFortiBleed事案が改めて突きつけるのは、「VPNの認証情報そのものが大規模攻撃の標的になる」という構造的な問題だ。パスワードをリセットしMFAを付けることは当然やるべき応急処置だが、それで根本が解決するわけではない。

VPNは「信頼できるネットワーク内に一度入れれば自由に動ける」という前提で設計されている。しかし今回のように認証情報が大規模に流出した場合、攻撃者は正規ユーザーと区別がつかない状態でネットワークを歩き回ることができる。これはアーキテクチャの限界だ。

本質的な対策の方向性はゼロトラストへの移行にある。常時接続VPNで「ネットワークに入れる人間を信頼する」という考え方から、「どのユーザーが・どのデバイスから・何のリソースに・どんな文脈でアクセスするか」を毎回検証する仕組みに変えることが、こうした事案への構造的な答えになる。

日本の大企業・官公庁では、古いVPNベースの境界防御と部分的なゼロトラスト導入が混在し、管理の複雑さだけが増している現場も少なくない。今回の事案を、ゼロトラスト移行計画を本格化させる契機として活用してほしいと思う。

出典: この記事は CISA warns Fortinet users to secure devices after FortiBleed leak の内容をもとに、筆者の見解を加えて独自に執筆したものです。