Fortinet製デバイス1万6000台超がバックドア被害に 急ぎ対策を：セキュリティニュースアラート

Fortinet製デバイス1万6000台以上がシンボリックリンク型バックドアによる侵害を受けたことが分かった。攻撃者は既知の複数の重大な脆弱性を悪用し、SSL-VPNの言語ファイル配信フォルダにリンクを作成して永続的アクセスを得ている。

[後藤大地，有限会社オングス]

　コンピュータ情報サイト「Bleeping Computer」は2025年4月16日（現地時間）、1万6000台以上のFortinet製デバイスがシンボリックリンク型のバックドアにより侵害されていると報じた。

　この問題はセキュリティ監視団体The Shadowserver Foundationの調査により判明した。当初、同団体は約1万4000台のデバイスに影響があると報告していたが、その後の調査で1万6620台のデバイスに影響が及んでいることを確認したとBleeping Computerは伝えている。

1万6000台以上のFortinet製デバイスでバックドア被害が発生

　攻撃者は複数の既知の脆弱（ぜいじゃく）性（CVE-2022-42475、CVE-2023-27997、CVE-2024-21762）を利用してデバイスへのアクセスを獲得した可能性がある。その後、SSL-VPNで使用される言語ファイル配信フォルダ内にユーザーファイルシステムとルートファイルシステムを結ぶシンボリックリンクを作成し、読み取り専用の永続的アクセスを実現した。操作をユーザーファイルシステム内のみに限定し、検出を回避している。

　Fortinetはこのシンボリックリンクが残存していれば、脆弱性を修正した「FortiOS」バージョンにアップグレード済みのデバイスであっても、攻撃者によるファイルシステムへのアクセスが維持される可能性があると説明した。アクセス可能な情報には構成ファイルや認証情報が含まれる恐れがある。

　Fortinetは内部テレメトリーと外部パートナーとの連携により、影響を受けたデバイスの特定を進めており、今月からFortiGuardによって検知した対象顧客への個別通知を開始している。なお攻撃対象デバイスが特定の地域や業界に偏っているという証拠は確認されていない。

　対応としてFortinetは悪意あるシンボリックリンクを検出・削除する更新済みのAV／IPSシグネチャを公開している。また最新ファームウェアではこのリンクの検出および削除機能に加え、不明なファイルやフォルダが内蔵Webサーバを通じて窃取されることを防ぐ機能も実装している。

　今回の事案についてFortinetは、製品の開発段階から堅牢（けんろう）なセキュリティ対策を講じることと、透明性のある情報開示に取り組む姿勢を改めて強調した。また、全ての顧客に対し、推奨バージョンへのアップグレードを促しており、仮にSSL-VPNを有効化していなければこの問題の影響は受けないと説明している。

　Fortinetは自動アップデートや構成の自動復元、ハードウェアレベルでのファームウェア整合性検証、仮想パッチ適用機能などを含む最新のセキュリティ機能群を案内しており、引き続きベストプラクティスに基づく運用の重要性を顧客に呼びかけている。