FortiGate侵害からAD侵入 SentinelOneが最新の攻撃手法を分析：セキュリティニュースアラート

SentinelOneは、FortiGateの脆弱性や設定ファイルの可逆暗号を悪用し、Active Directory環境を侵害する攻撃者の最新手口を公表した。サービスアカウントを盗み、RMMツールや不正端末登録で権限を拡大するという。

[ITmedia エンタープライズ編集部，ITmedia]

　SentinelOneは2026年3月10日（現地時間）、Fortinetの次世代ファイアウォール（NGFW）機器「FortiGate」が侵害され、「Active Directory」（AD）環境への侵入や機密情報窃取につながった複数の事案分析を公表した。

　この調査において、FortiGate機器への不正アクセスが侵入の起点となり、設定ファイルから取得したサービスアカウント資格情報が攻撃者に悪用された可能性が高いことが確認された。FortiGateはネットワーク監視や認証連携のためADやLDAPと接続されることが多く、設定ファイルにはネットワーク構成情報や認証情報が含まれる場合がある。

悪用される脆弱性の詳細と、攻撃プロセスを細かく解説

　Fortinetは2025年12月〜2026年2月にかけ、SSO機構の署名検証不備に起因する脆弱（ぜいじゃく）性「CVE-2025-59718」「CVE-2025-59719」を公開した。細工したSSOトークンによって認証なしで管理者権限が取得される可能性がある。2026年1月には「FortiCloud SSO」を利用する機器への不正ログインを許す「CVE-2026-24858」を修正している。

　攻撃者は機器に侵入した後、「show full-configuration」コマンドで設定ファイルを取得する。「FortiOS」では設定情報が可逆暗号で保存されるため、復号すれば埋め込まれたサービスアカウント資格情報を抽出できる。

　調査対象となった事案では2025年11月頃に侵入が始まった可能性があり、2026年2月まで検知されなかった。攻撃者はFortiGate機器に「support」というローカル管理者アカウントを作成し、全てのネットワークゾーンを通過できるファイアウォールポリシーを追加した。その後、取得したLDAPサービスアカウント資格情報を利用してADに認証し、2台の不正ワークステーションをドメインに登録した。

　攻撃者はネットワーク内のスキャンやパスワード試行を実行したが、大量の認証失敗ログが発生し、セキュリティ監視で異常が検知された。調査では「SoftPerfect Network Scanner」の使用を示唆する痕跡も見つかった。

　もう一つの事案では攻撃者はFortiGateに「ssl-admin」という管理者アカウントを作成した後、ドメイン管理者権限を取得し、複数サーバにログインした。侵入後10分以内にリモート操作が開始されており、迅速な権限拡大が実行されたとみられる。

　攻撃者は「Pulseway」や「MeshAgent」といったリモート監視および管理（RMM）ツールを導入し、持続的アクセスの確保を試みた。これらは正規のシステム管理ソフトは攻撃で悪用される例が多い。ツールはクラウドストレージから取得され、タスクスケジューラによって自動実行される仕組みが構築された。

　また、攻撃者はマルウェアを実行し、DLLサイドロードの手法でJavaプログラムを装った不正コードを読み込ませた。感染システムは外部ドメインと通信し、コマンド＆コントロール（C2）接続を確立した。

　その後、攻撃者はドメインコントローラーのボリュームシャドーコピーを作成し、Active Directoryデータベース「NTDS.dit」とSYSTEMレジストリーを取得して圧縮した。通信はCloudflareのIPアドレスに対し行われ、短時間の接続後に関連ファイルが削除されたことから、データ送信が完了した可能性がある。

　SentinelOneは、FortiGateなどのエッジ機器はネットワーク内部への足掛かりとして高い価値を持つと指摘する。特にログ保持期間が短い場合、侵入経路や活動内容の特定が難しくなるという。

　対策として同社は、機器のソフトウェア更新、厳格な管理者アクセス制御、ログ保持期間の延長を推奨した。最低14日間、可能であれば60〜90日間のログ保存が望ましいとしている。またログをSIEM製品などに送信することで、異常ログイン、設定取得、アカウント作成、不審通信などを早期に検知できるとした。自動対応機能を組み合わせれば、侵入直後にアカウント停止や通信遮断を実施し、被害拡大を防ぐことが可能だとしている。