1万5000台超のFortiGateデバイスの情報が流出 過去のゼロデイを悪用か：セキュリティニュースアラート

サイバー犯罪グループ「Belsen Group」が1万5000台を超えるFortiGateデバイスの設定情報を公開した。CVE-2022-40684を悪用して機密データを窃取し、ユーザー名、パスワード、VPN資格情報などが流出している。

[後藤大地，有限会社オングス]

　サイバーセキュリティ研究者のケビン・ボーモント氏は2024年1月16日（現地時間）、「Belsen Group」と呼ばれるサイバー犯罪グループが1万5000台以上の「FortiGate」デバイスのファイアウォールの設定を公開したと報告した。

　同氏によると、2022年に公開されたゼロデイ脆弱（ぜいじゃく）性（CVE-2022-40684）を悪用して多数のFortiGateデバイスから機密情報が窃取され、そのデータが公開されたという。公開された情報にはユーザー名やパスワード（プレーンテキストを含む）、ファイアウォールルール、デバイス管理証明書といった重要な情報が含まれている。

ゼロデイ脆弱性の悪用によってFortiGateの機密データが流出

　Fortinetは2022年10月、FortiGateファイアウォールのゼロデイ脆弱性の存在を報告している。この脆弱性が悪用された場合、攻撃者がデバイスの完全な管理権を取得できる可能性がある。Fortinetはこの脆弱性の共通脆弱性評価システム（CVSS）のスコア値を9.8とし、深刻度「緊急」（Critical）と位置付けている。

　公開されたデータは国別に分類されており、IPアドレスごとに構成ファイル（config.conf）およびVPNユーザーのプレーンテキスト資格情報（vpn-users.txt）が含まれている。データの信ぴょう性は「Shodan」リストに記載されたデバイスのシリアル番号との照合を通じて確認されている。公開されたデータの多くは通信事業者や中小企業が多く、一部に大企業や政府機関が含まれている。

　攻撃対象は全ての国または地域のFortinetデバイスだが、公開データには一部地域に不自然な偏りが見られた。例えばイランでは対象デバイスが約2000台存在するにもかかわらず、データには一切含まれていなかったとされている。さらにロシアでは1台のみが含まれていたことが確認されている。

　ゼロデイ脆弱性に対するパッチは既に提供されているが、窃取されたデータが公開されたことで依然として攻撃が活発に実行される可能性がある。さらにファイアウォールルールやVPN資格情報が公開されたことで企業や組織が影響を受けることが予想される。

　被害を防ぐため、CVE-2022-40684のパッチを適用していない場合、直ちに適用することやファイアウォールルールやアカウントの再設定、ネットワークログの監視および不審なアクセスがないかを確認するなどのセキュリティ対策を実施することが望まれる。