過去のFortiGateの脆弱性悪用を確認 2要素認証を回避可能な欠陥：セキュリティニュースアラート

Fortinetは、過去に公表した認証欠陥が特定条件下で悪用された事例を示し、大小文字の扱いと設定不備により2要素認証が回避され得る点、対策設定と更新の必要性を示した。

[後藤大地，ITmedia]

　Fortinetは2025年12月24日（現地時間）、2020年に公表した脆弱（ぜいじゃく）性「FG-IR-19-283」が、特定の構成環境において実環境で悪用された事例を確認したと明らかにした。

　本件は「FortiGate」におけるLDAP認証と2要素認証の組み合わせに起因する挙動であり、条件がそろうことで本来要求される追加認証を経ずにアクセスが成立する点に特徴がある。記事では観測された挙動の整理と、管理者が影響有無を判断するための視点、ならびに再発防止策が提示されている。

大小文字処理の差異が生む認証挙動、2要素認証が機能しない状況

　FortiGateは利用者名を初期状態で大小文字を区別して扱う設計になっているが、LDAPディレクトリは大小文字を区別しない動作になっており、この差異が問題の原因になっている。FortiGateに2要素認証を設定したローカル利用者が存在し、その同一人物がLDAPサーバのグループにも属している場合、入力された利用者名の表記が完全一致しないとローカル利用者として認識されない。その結果、別経路の認証処理に移行する余地が生まれる。

　成立条件としては、2要素認証付きのローカル利用者設定、該当利用者が所属するLDAPグループの存在、そのグループが管理用アクセスやVPN認証などのポリシーで使用されている点が挙げられる。これらが同時に存在すると、表記揺れを含む利用者名で接続した際に、FortiGateはローカル定義を参照できず、LDAPグループ経由の認証処理を実行する構成となる。

　この挙動が発生した場合、LDAP側で資格情報が正しければ、ローカル側で設定された2要素認証や無効化状態に関係なく認証が成立する可能性がある。結果として管理者権限やVPN接続が追加認証なしで許可される恐れがあり、実際に該当状況が確認された場合は、機器設定全体が侵害された前提での対応が求められる。記事において、関連する資格情報の全面的な更新が必要だと示されている。

　Fortinetは、この挙動を防ぐ設定を、2020年7月公開の修正によって「FortiOS 6.0.10、6.2.4、6.4.1」以降で提供している。未適用環境において、ローカル利用者に利用者名の大小文字を区別しない設定を有効化することで、別経路の認証処理に移行する余地を抑止できる。後続バージョンでは同などの設定項目名が変更されている点にも注意が必要だ。

　追加の観点として、ローカル認証失敗時に使用される二次的なLDAPグループ設定自体が不要であれば削除すべきだと説明されている。LDAPグループ認証を使わない構成であれば、表記不一致時は認証自体が失敗するため、問題は発生しない。影響が疑われる場合、Fortinetサポートへの連絡が推奨されている。