Fortinet製品のゼロデイ脆弱性がダークWebに流出か？：セキュリティニュースアラート

ThreatMonはFortiGateに影響を及ぼすゼロデイ脆弱性がダークWebで取引されていると報告した。この脆弱性により、認証しなくても遠隔からコードを実行でき、管理者情報やネットワーク構成が漏えいしている。

[後藤大地，有限会社オングス]

　ThreatMonは2025年4月13日（現地時間）、「X」（旧「Twitter」）公式においてFortinetの「FortiGate」ファイアウォールに影響を及ぼすゼロデイ脆弱（ぜいじゃく）性の売買情報を確認したと発表した。

　この脆弱性は認証を必要とせずリモートで任意のコードを実行でき、「FortiOS」への完全な構成アクセスが可能となる。攻撃者は資格情報を必要とせず、対象デバイスを完全に制御できる可能性がある。

FortiGateに深刻なゼロデイ脆弱性　資格情報なしで制御可能

　ThreatMonは脅威アクターがダークWeb市場で投稿した内容を観測し、脆弱性を利用して抽出されたFortiOSの設定ファイルについて、詳しく説明されていることを確認した。次のような機密情報がダークWebに投稿された。

• ローカルユーザーの資格情報（local_users.json、暗号化されたパスワードを含む）
• 管理者アカウントの権限および信頼関係（admin_accounts.json）
• FortiTokenによる二要素認証（2FA）のステータス（two_factor.json）
• ファイアウォールポリシー、NATルール、内部IP資産、アドレスグループなどの完全なネットワーク構成

　攻撃者がこれらの情報を悪用した場合、既存のセキュリティ対策を回避し、ネットワークへの侵入やさらなる攻撃の足掛かりを得る可能性がある。

　このゼロデイ脆弱性に関する投稿と同時期に、Fortinetは「FortiSwitch」「FortiAnalyzer」「FortiManager」FortiOSなどの製品に関する既知の脆弱性の悪用について、新たなセキュリティアドバイザリーを発表した。これらの発表が影響したかどうかは不明だが、攻撃者が同時期に複数のFortinet製品を標的とした攻撃を仕掛けtた可能性があり、一定の因果関係を疑わせる状況にある。

　今回のゼロデイ脆弱性が事実であれば、企業や官公庁を含む多数の組織にとって深刻なセキュリティリスクとなる。Fortinet製品は多くの企業や組織のネットワークで重要な役割を果たしており、攻撃者が脆弱性を発見した場合にサイバー攻撃の対象となるリスクが高まる。Fortinetは製品群の最新版へのアップデートを推奨しているが、ユーザーは必要なセキュリティ対策を実施するとともに監視を強化する必要がある。