Fortinet製品にCVSS 9.8の脆弱性 約328万件のインターネット上の資産に影響：セキュリティニュースアラート

Fortinet製品のFortiCloud SSOに認証回避の重大な脆弱性が見つかった。CVSSの評価は9.8、深刻度「緊急」（Critical）であり、攻撃者による悪用も確認されている。インターネットに公開されている約328万件の資産が影響を受けるという。

[ITmedia エンタープライズ編集部]

　Censysは2026年1月29日（現地時間、以下同）、Fortinet製品群に影響する重大な認証回避の不具合「CVE-2026-24858」について注意喚起した。

　この脆弱（ぜいじゃく）性は「FortiCloud SSO」認証機能に関連し、条件がそろうと別アカウントに登録された機器に不正ログインされる可能性がある。インターネットに公開されている約328万件の資産が影響を受けるという。

CVSS 9.8の認証回避脆弱性　FortiCloud SSO経由の不正ログインに注意

　CVE-2026-24858の深刻度は共通脆弱性評価システム（CVSS）v3.1のベーススコアで9.8、深刻度「緊急」（Critical）と高く評価されている。この脆弱性は2026年1月27日に公開された。実環境での悪用が確認されていることから、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）にも登録された。

　影響を受けるのは「FortiOS」「FortiManager」「FortiAnalyzer」「FortiProxy」「FortiWeb」で、複数の主要バージョンが該当し、ネットワーク境界機器や管理基盤が広範囲に危険にさらされる。「FortiSwitch Manager」については影響の有無を調査中とされている。「FortiGate Cloud」などのクラウド版製品やカスタムIdPを利用している場合は影響を受けない。

　この問題の仕組みは、FortiCloudアカウントと登録済み機器を持つ攻撃者が、SSOが有効な別アカウント配下の機器にアクセスできる点にある。SSO機能は初期状態では無効だが、GUI経由でFortiCare登録をする際に有効化されるケースが多い。攻撃者はこれを利用して機器設定をダウンロードし、「cloud-noc@mail.io」などの特定アカウントを使って「audit」や「backup」といった名称のローカル管理者アカウントを作成して持続的アクセスを確保したことが判明している。

　Fortinetは侵害を確認後、2026年1月26日にFortiCloud SSO機能を一時停止し、同年1月27日に制限付きで再開した。脆弱なバージョンを実行する機器からのログインをサーバ側で遮断する仕組みが導入されており、SSO機能を継続利用するには修正済みバージョンへのアップデートが必須となる。

　修正状況においては、即時アップグレード可能な製品として、FortiOSは7.4.11または7.6.6、FortiManagerは7.4.10または7.6.6、FortiAnalyzerは7.2.12または7.0.16となっている。