主なポイント:
- サイバー犯罪者はFortiBleed作戦で194カ国にわたる7万3,000以上のFortinetファイアウォールURLを侵害した。
- 攻撃者はゼロデイ脆弱性ではなく、認証情報の使い回しとパスワードスプレー攻撃を用いてデバイスに侵入した。
- 被害者にはFoxconn、Samsung、Siemens、Lenovo、Oracle、PwC、Accenture、Comcastが含まれる。
戻る
FortiBleed、全世界7万3,000台のFortinetファイアウォールを侵害—大規模な認証情報窃取作戦
大規模な認証情報収集キャンペーンにより、194カ国にわたる7万3,000以上のFortinetファイアウォールおよびVPNゲートウェイのURLが侵害され、攻撃者は世界有数の大企業に対し持続的なアクセスを得ている。
サイバー犯罪者は、Foxconn、Samsung、Siemens、Lenovo、Oracle、PwC、Accenture、Comcastなどの企業が使用する数万台のFortinetデバイスに組織的に侵入したと、サイバーセキュリティ企業のSOCRadarとHudson Rockが報告している。FortiBleedと名付けられたこのキャンペーンは、ゼロデイ脆弱性ではなく、露出したFortinet管理インターフェースおよびVPNインターフェースに対する認証情報の使い回しとパスワードスプレー攻撃に依存している。
「攻撃者はインターネット上でFortinetデバイスをスキャンし、各デバイスに対して既知のパスワードの厳選リストを試し、成功したログインをすべて記録する」とSOCRadarは6月16日に公開した報告書で述べている。「デバイスが侵害されると、それを傍受拠点として使用し、通過するトラフィックを監視し、流れてくる追加の認証情報を収集する。」
SOCRadarは、政府、通信、医療、教育、金融サービス、重要インフラセクターにわたる21,108のユニークIPアドレスと8,316のユニークドメインを含む、3万791台以上の侵害デバイスを特定した。Hudson Rockの分析では、セキュリティ研究者Volodymyr Diachenkoが最初にフラグを立てたデータセットに基づき、その数字はさらに高く、73,932のユニークなFortinet URLに上る。攻撃者は32万台以上のFortiGateターゲットに対して推定11億6,000万回の認証ベースの試行を実行すると同時に、16万台のMSSQLサーバーに対して21億回のブルートフォース攻撃を仕掛けた。
この作戦の技術的巧妙さは、単純なクレデンシャルスタッフィングを超えている。Hudson Rockによると、デバイス内部に侵入した後、攻撃者はSSL VPN認証ハッシュを傍受し、Hashtopolisを介して管理される専用の45-GPUクラスターを使用してオフラインで解読する。侵害されたデバイスはその後、通過トラフィックから追加の認証情報を収集する傍受拠点として機能し、不正アクセスの自己強化サイクルを生み出す。インドと米国で特定された認証情報侵害の約3分の1を占め、通信セクターが5,600台以上のデバイスで最も大きな打撃を受け、政府機関は111のドメインにわたる591のシステムが侵害された。
自己増殖する攻撃マシン
攻撃者は運用サーバーを露出したまま放置しており、研究者はそのインフラと被害者データベースを可視化することができた。SOCRadarは、技術的証拠がロシア語を話す脅威アクターを示唆しており、被害者の選定は「NATO加盟国の組織に大きく偏っていた」と述べている。回収されたデータの中には、国防産業のVPNエンドポイントと思われる認証情報も含まれており、純粋な金銭的利益を超えた動機が示唆されている。
このキャンペーンの最も顕著な特徴は、悪用されたFortinetの脆弱性が存在しないことである。「ゼロデイも、エクスプロイトも、実際の『ブリード(漏洩)』も存在しない」とSecure.comのエンジニアリング責任者Waseem Ahmed氏は述べる。「その名称にもかかわらず、これは脆弱性ではなく、過去のFortinet侵害で流出した認証情報の山を、変更する手間を省いた組織に対して浴びせかけたものだ。」
別途、セキュリティ企業Defusedは、最近パッチが適用された3つのFortinet FortiSandboxの脆弱性—CVE-2026-39808、CVE-2026-39813、CVE-2026-25089—が、6月にハニーポットで出現し始めた攻撃で活発に悪用されているのを観測した。最初の2つはクリティカルと評価され4月にパッチが適用され、3つ目はFortinetの6月のPatch Tuesdayアップデートで対処された。Defusedは、CVE-2026-25089のエクスプロイトはAIを使用して作成されたように見え、最初に観測された時点では機能していなかったと述べている。
投資家への影響
FortiBleedキャンペーンの規模は、同社の製品セキュリティ態勢と顧客の信頼に疑問を投げかけている。年間売上高10億ドル以上を生み出すエンタープライズ組織が、影響を受けたデバイスの20%以上を占めているとSOCRadarは報告している—まさにFortinetの高マージン経常収益を牽引する顧客基盤である。同社のファイアウォールとVPNゲートウェイは、世界で最も広く展開されているネットワークセキュリティアプライアンスの1つであり、永続的な標的となっている。Hudson Rockは、組織が自社のドメインが侵害データセットに含まれているかどうかを確認するための検証ポータルを公開し、SOCRadarは影響を受けた企業に対し「ネットワーク境界はすでに侵害されたものとして扱い、直ちに対応する」よう促した。
本記事は情報提供のみを目的としており、投資助言を構成するものではない。
