「FortiOS」関連の最新 ニュース・レビュー・解説 記事 まとめ

対象のVPN機器と基本対策も解説：
VPN機器「乗っ取り」の危険も　IPAが警鐘、社内ネットワークへの侵入だけじゃない
IPAは、VPN機器が組織内部への侵入の入り口になるばかりでなく、攻撃の中継拠点として悪用される恐れがあるとして注意を促した。（2025/11/12）

セキュリティニュースアラート：
QilinランサムウェアがFortinet製品の脆弱性を悪用　全世界で攻撃拡大中
脅威グループ「Qilin」が、Fortinet製品の複数の脆弱性を悪用したランサムウェア攻撃を展開していることが分かった。この攻撃キャンペーンは今後、世界中に拡大する可能性がある。（2025/6/10）

「IPsec VPN」への移行が必要：
Fortinet、「FortiGate」用OS「FortiOS 7.6.3」からSSL VPNトンネルモードのサポートを終了へ
Fortinetは、同社のファイアウォール「FortiGate」に搭載するOS「FortiOS」の最新バージョン「FortiOS 7.6.3」から、「SSL VPNトンネルモード」のサポートを終了すると発表した。（2025/4/28）

セキュリティニュースアラート：
Fortinet製デバイス1万6000台超がバックドア被害に　急ぎ対策を
Fortinet製デバイス1万6000台以上がシンボリックリンク型バックドアによる侵害を受けたことが分かった。攻撃者は既知の複数の重大な脆弱性を悪用し、SSL-VPNの言語ファイル配信フォルダにリンクを作成して永続的アクセスを得ている。（2025/4/20）

セキュリティニュースアラート：
Fortinet製品のゼロデイ脆弱性がダークWebに流出か？
ThreatMonはFortiGateに影響を及ぼすゼロデイ脆弱性がダークWebで取引されていると報告した。この脆弱性により、認証しなくても遠隔からコードを実行でき、管理者情報やネットワーク構成が漏えいしている。（2025/4/16）

セキュリティニュースアラート：
Fortinet製品群に複数の深刻な脆弱性　急ぎ対応を
Fortinetは、「FortiSwitch」「FortiAnalyzer」「FortiManager」「FortiOS」「FortiProxy」「FortiVoice」「FortiWeb」など同社の製品群に影響を及ぼす複数の重大な脆弱性を修正した。（2025/4/10）

DevSecOpsを考えているなら：
PR：なぜクラウドセキュリティは「包括的でシンプル」にすべきなのか　開発、運用、セキュリティの連携を強める秘策
マルチクラウドやハイブリッドクラウドが当たり前になりつつある今、システムの複雑化と、保護対象の広範化がセキュリティ対策を難しくしている。DevOpsやDevSecOpsにおけるセキュリティ課題の解決策を探っていこう。（2025/4/16）

Cybersecurity Dive：
Fortinet製品の脆弱性を悪用　攻撃者が最高レベルの管理者権限を取得か
Forescout Researchの報告書によると「CVE-2024-55591」「CVE-2025-24472」として登録された2つの脆弱性が悪用され、認証されていない攻撃者が「FortiOS」のファイアウォールにおいて、最高レベルの管理者権限を得たという。（2025/3/27）

セキュリティソリューション：
Fortinet、次世代ファイアウォール「FortiGate Gシリーズ」を発表
Fortinetは高性能な次世代ファイアウォール「FortiGate Gシリーズ」を発表した。分散型エンタープライズ環境において高水準のセキュリティを提供する。（2025/3/1）

FBI、CISA、MS-ISACが共同発表：
古いソフト／ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に　対策は？
FBI、CISA、MS-ISACは共同で、ランサムウェア「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。（2025/2/26）

セキュリティニュースアラート：
FortiOSとFortiProxyに新たな脆弱性　悪用確認済みのため急ぎ対処を
Fortinetは、FortiOSとFortiProxyのセキュリティアドバイザリーを更新し、新たな認証バイパスの脆弱性を報告した。影響を受けるバージョンと修正情報が公表され、ユーザーには迅速なアップデートが推奨されている。（2025/2/13）

セキュリティニュースアラート：
FortiOSの認証バイパスの脆弱性、PoCが公開　悪用される前に急ぎ対処を
watchTowr LabsはFortinetのFortiOSに存在する認証バイパスの脆弱性に関するPoC（概念実証）を公開した。この脆弱性はFortiGateに影響を与え、深刻なセキュリティリスクをもたらす。（2025/1/30）

セキュリティニュースアラート：
FortiOSとFortiProxyにゼロデイ脆弱性　悪用確認済みのため即時アップデートを
FortinetはFortiOSおよびFortiProxyにゼロデイ脆弱性があることを公表した。この脆弱性は既に悪用されており、管理者権限を奪われるリスクがある。影響を受ける製品には迅速なアップデートが推奨される。（2025/1/16）

ゼロデイ脆弱性を悪用した攻撃が増加：
2023年に最も頻繁に悪用された脆弱性トップ15　米CISAが発表　ソフトウェアベンダー、エンドユーザーができることは？
CISAは、2023年に日常的に悪用された脆弱性トップ15をまとめた「2023 Top Routinely Exploited Vulnerabilities」を発表した。ソフトウェアベンダーやエンドユーザー向けの緩和策を紹介している。（2024/12/4）

セキュリティニュースアラート：
2024年に登場した最も悪質なランサムウェアとは？　オープンテキスト調査
オープンテキストは「2024年最も厄介なマルウェア」リストを発表した。世間を騒がせたランサムウェアグループのうち多くの企業に被害を及ぼしたものが選ばれた。（2024/12/3）

数字で見るランサムウェア攻撃の恐ろしさ【後編】
システムが暗号化されたら身代金は支払うのか？　「イエス」と答えた割合
ランサムウェア攻撃を受けたらシステムが停止し、ビジネス活動ができなくなる。その解決策として身代金の支払い要求に応じた組織は、2024年上半期にどのくらいあったのか。（2024/11/22）

セキュリティニュースアラート：
2023年に日常的に悪用された脆弱性トップ15が公開　懐かしのあの脆弱性も
CISAは2023年に日常的に悪用されている脆弱性トップ15をまとめたアドバイザリーを公開した。企業はソフトウェアの迅速な更新と脆弱性の排除を促進する対策が求められている。（2024/11/15）

ロシアによるサイバー脅威動向を調査：
米国／英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は？　GreyNoise Intelligence調査
サイバーセキュリティベンダーのGreyNoise Intelligenceは、米国／英国政府の共同勧告に記載されている25の脆弱性のうち12件を調査、発表した。中でも9つの脆弱性は頻繁に悪用されており対策が必要だという。（2024/11/7）

セキュリティニュースアラート：
Fortinet製品の「緊急」の脆弱性が「既知の悪用された脆弱性カタログ」に追加　急ぎ確認を
2024年2月に見つかったFortinet製品の脆弱性（CVE-2024-23113）が「既知の悪用された脆弱性カタログ」（CISA発行）に登録された。悪用が確認された脆弱性であるため対応の緊急度も高い。詳細を確認の上、急いで対処してほしい。（2024/10/11）

セキュリティニュースアラート：
エッジサービスの脆弱性を悪用した大規模エクスプロイトが急増中　ウィズセキュア調査
ウィズセキュアはエッジサービスの脆弱性に関する調査レポートを発表した。調査により、エッジサービスの脆弱性が急増し、ランサムウェア攻撃の主要なベクトルとして成長していることが明らかになった。（2024/6/19）

セキュリティニュースアラート：
「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性　急ぎ対処を
Fortinetは「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに脆弱性があることを報告した。これを悪用されるとIPアドレスを偽装してセキュリティ制御を回避する可能性がある。（2024/5/17）

セキュリティニュースアラート：
Fortinetの脆弱性を放置している約15万台のサーバが見つかる
The Shadowserver Foundationはリモートコード実行可能な脆弱性を抱えたまま運用されているサーバの調査結果を発表した。放置されたままになっている脆弱性が明らかになった。（2024/3/12）

セキュリティニュースアラート：
FortiOSに新たなセキュリティリスク　CVSS v3スコア9.6で深刻度「Critical」
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。（2024/2/14）

アラクサラとの融合も強調：
Fortinetが考える「1つのOSで守る」という手法
フォーティネットジャパンは2023年12月1日、同社のイベント「Accelerate Japan 2023」に合わせて記者説明会を開催。Fortinetの創業者、取締役会会長 兼 CEOのケン・ジー氏と、2023年7月からフォーティネットジャパン 社長執行役員に就任した与沢和紀氏が登壇し、事業戦略を語った。（2023/12/7）

複数ベンダーの継ぎはぎSASEに課題あり：
PR：セキュリティ機能を包括的に提供する「シングルベンダーSASE」のメリットとは？
テレワークが普及し、さまざまな場所からアプリやデータを利用する機会が増えたことで脚光を浴びているのが「SASE」だ。だが、SASEの活用が進むにつれて、徐々に課題も浮上してきている。その課題とは何か。解決策はあるのか。（2023/9/27）

「サポート詐欺」「ランサムウェア」「偽Wi-Fi」に要注意：
「サイバー攻撃の被害は警察署に通報を」――警視庁が解説する最新の脅威動向、セキュリティ対策の基本
サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。（2023/9/22）

前年比では大きく減少：
Googleが報告「ゼロデイ脆弱性は過去2番目に多かった」　2022年に41件が悪用される
Googleの年次報告書によると、2022年に悪用されたことが検出、公開されたゼロデイ脆弱性は41件。2021年の69件からは減少したが、2014年に同社が追跡を開始して以来、2番目に多かった。（2023/8/2）

Cybersecurity Dive：
Fortinet製品の脆弱性を悪用する脅威アクター「Volt Typhoon」の実態
Fortinetは、FortiOSおよびFortiProxyの「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性を悪用することで、サイバー攻撃者がデバイスを制御できる可能性があると警告した。（2023/7/15）

FortiOSとFortiProxyにCVSSv3 9.8の脆弱性　直ちにアップデートを
FortiOSとFortiProxyに深刻度「緊急」の脆弱性が見つかった。これをサイバー攻撃者に悪用されると、任意のコードやコマンドが実行されるリスクがある。（2023/7/14）

約33万のFortinet製SSL VPNインタフェースが脆弱性を放置している
Fortinetは2023年6月にFortiOSに存在するヒープバッファーオーバーフローの脆弱性に対処したアップデートの提供を開始した。しかし1カ月たってもアップデートの適用状況は好ましくない。（2023/7/5）

宮田健の「セキュリティの道も一歩から」（86）：
クラウドサービスだってやられてしまう時代に、どう身を守るか？
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、直近で明らかになったセキュリティに関する2つの事象について紹介します。（2023/6/22）

FortiGate／FortiOSの最新アップデートが公開　RCEの脆弱性を修正か
FortinetはFortiGateおよびFortiOSの最新バージョンを公開した。新バージョンには発表前の重要な脆弱性の修正が含まれる可能性があり、ユーザーは可能な限り迅速なアップデートが推奨される。（2023/6/13）

FortiOSにパストラバーサルの脆弱性　政府機関へのサイバー攻撃が観測される
Fortinetは、FortiOSにパストラバーサルの脆弱性が存在するとし、公開の数日後にその脆弱性が政府機関などを標的としたサイバー攻撃に悪用されていたことを伝えた。（2023/3/15）

CVSSv3スコアは9.3　FortiOSとFortiProxyに「緊急」の脆弱性
FortinetはFortiOSとFortiProxyの脆弱性を報告した。CVSSv3スコアは9.3で深刻度「緊急」に分類されているため、早急なアップデートの適用が必要だ。（2023/3/10）

FortiOSにおけるCVSS9.8の脆弱性　サイバー攻撃者による悪用を確認
Fortinetは2022年12月に見つかったFortiOSの脆弱性がサイバー攻撃に悪用されていると報告した。該当製品を使っている場合はすぐにアップデートを適用してほしい。（2023/1/17）

FortiOSにCVSS v3スコア9.3の脆弱性　既に悪用を確認済みのため急ぎ対処を
FortinetはFortiOSのSSL-VPN機能にヒープベースのバッファオーバーフローの脆弱性が存在すると伝えた。該当製品を使用している場合、直ちにアップデートを適用してほしい。（2022/12/14）

セキュリティ・アディッショナルタイム（49）：
Fortinetは、VPNなどセキュリティ機器の脆弱性を狙う攻撃を減らす方法をどう考えているのか
セキュリティ人材不足、IT人材不足はたびたび指摘され、VPNなどセキュリティアプライアンスの脆弱性を狙った攻撃が近年頻発している。今の課題について「2022年クラウドセキュリティレポート」を基にFortinetに聞いた。（2022/12/6）

半径300メートルのIT：
Fortinet製品の脆弱性から考える　セキュリティ対策は「Nデイ」に目を向けよ
Fortinetの複数製品における管理画面の脆弱性（CVE-2022-40684）が話題を集めています。既にサイバー攻撃についてのPoCも公開されているため、喫緊の対策が求められています。企業が今すぐできることとは何でしょうか。（2022/10/18）

Fortinet製品にCVSS v3スコア9.6の脆弱性　直ちにパッチの適用を
Fortinetは複数製品に深刻度「緊急」（Critical）の脆弱性が存在すると発表した。該当製品を使用している場合、直ちに内容を確認するとともにアップデートおよび回避策を適用してほしい。（2022/10/12）

ルーターやiOS、Androidなどに対する12の脆弱性がアクティブに悪用されている
ルーターやiOS、Androidなどに対して12個の脆弱（ぜいじゃく）性が見つかり、アクティブにサイバー攻撃に使われているようだ。追加された脆弱性を確認して、必要な対策を取ろう。（2022/9/10）

CISAアドバイザリーに学ぶセキュリティ強化策【後編】
“ポート開けっ放し”は禁物　軽視してはいけない「脆弱性」の危険性とは
企業がシステムを守る際に注目しなければならないのは、システムの脆弱性だ。脆弱性を進める上で、CISAが特に注意を促していることは何か。どのような技術で脆弱性悪用のリスクを減らせるのか。（2022/6/27）

CISAアドバイザリーに学ぶセキュリティ強化策【前編】
不正アクセスを招く「設定ミス」5つの悪用手口とは？
世界各国のサイバーセキュリティ機関は、セキュリティ対策の設定ミスがシステムへの不正アクセスを招くと警鐘を鳴らす。設定ミスを悪用した攻撃手法とは、具体的には何なのか。対策は。（2022/6/20）

全世界で悪用される脆弱性トップ15は？　各国当局が共同アラートを公開
米国やオーストラリア、カナダ、ニュージーランド、英国のセキュリティ当局らが共同で日常的に悪用されている脆弱性トップ15を発表した。該当の脆弱性が存在しているかどうかを直ちに確認し、更新することが望まれる。（2022/4/29）

Exchange Server、FortiOSを悪用した攻撃に要注意　CISAらが共同でセキュリティアラートを発表
Exchange ServerやFortiOSの脆弱性を利用したサイバー攻撃に注意が必要だ。CISAとFBI、ACSC、NCSCは共同でセキュリティアラートを発表した。迅速に緩和策を実施してほしい。（2021/11/19）

8万7000台に影響　「Fortigate」のSSL-VPNデバイスの認証情報が漏えい
「Fortigate」のSSL-VPNデバイスの認証情報がダークウェブに公開されたことが判明した。8万7000台の製品が影響を受ける見込みだ。迅速にアップデートを適用してほしい。（2021/9/13）

TechTarget発　世界のITニュース
石油パイプラインへのランサムウェア攻撃　FBIが身代金の約半分を回収できた訳
FBIは、2021年5月のランサムウェア攻撃でColonial Pipelineが支払った440万ドルの身代金の一部を取り戻した。どのような手法で身代金にたどり着き、回収したのか。（2021/7/20）

TechTarget発　世界のITニュース
FBI、暗号化チャットの“わな”で国際犯罪を一斉摘発　数年にわたって傍受
FBIは、「安全に情報のやりとりができる」と見せかけた暗号化チャットサービスを運営し、世界中の犯罪者を呼び寄せた。欧州やオーストラリアの警察と手を組んだ“異例の作戦”はどのようなものだったのか。（2021/7/19）

TechTarget発　世界のITニュース
報告者に報酬　脆弱性情報を集めるためにCISAが開始したプログラムとは？
米国で官民連携によって幅広く脆弱性情報を収集し、サイバー攻撃を未然に防ぐことを目指したプログラムが始動した。クラウドソーシングを使い、脆弱性の報告者に報酬を支払うこの仕組みはどのようなものか。（2021/7/17）

デジタルインフラを支援する特効薬が国内上陸：
PR：Equinixが開始するNFVとベアメタルサービス、注目の機能と参加ベンダーとは
不確実性が高い時代に、高品質なIT基盤を低リスクでグローバル展開するには何が必要なのか。エクイニクスがグローバル展開するソフトウェア定義型のエッジ向け新サービスを、連携する主要ベンダーとの構成や導入のポイントと併せて解説する。（2021/6/21）

TechTarget発　世界のITニュース
FBIが警鐘を鳴らす「FortiOS」の脆弱性　“パッチ未適用”の製品が標的に
FBIとCISAによると、Fortinet製品が搭載する「FortiOS」の脆弱性を悪用したAPT攻撃が発生している。アップデートしていない製品が狙われているとみられる。（2021/5/18）