FortiBleed:74,000台のFortinetファイアウォールが大規模なハッキングで露呈

FortiBleed Fortinet VPN vulnerability FortiGate credential leak enterprise network security VPN gateway vulnerabilities 2026
V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 
2026年6月24日
4 分の読み物
FortiBleed:74,000台のFortinetファイアウォールが大規模なハッキングで露呈

TL;DR

• FortiBleedにより、世界中で73,932台のFortinetファイアウォールの認証情報が露呈しました。 • 攻撃者は45個のGPUリグを使用して、脆弱なSHA-256 VPN認証ハッシュを解読しました。 • 主要なグローバル企業や政府機関が被害を受けていることが確認されています。 • ハッカーは盗んだ認証情報を使用して、内部のActive Directory環境に積極的にアクセスしています。 • この侵害は、古いFortiOSバージョンにおけるレガシーなパスワードハッシュの欠陥に起因しています。

FortiBleed:74,000台のFortinetファイアウォールがハッカーの侵入口に

セキュリティ業界は、サイバー犯罪者に「王国の鍵」を渡してしまったかのような大規模な認証情報収集キャンペーン「FortiBleed」に震撼しています。これは些細な不具合ではありません。194カ国にまたがる73,932台ものFortinet FortiGateファイアウォールシステムにおいて、管理者およびVPNの認証情報が露呈してしまったのです。政府機関から多国籍企業の重鎮まで、その被害は甚大です。機密性の高い設定データや認証トークンが、現在、犯罪フォーラムでカードのように取引されています。

この作戦の背後にある力は何でしょうか?ロシア語圏の脅威グループは、単に認証情報を偶然見つけたわけではありません。彼らは、傍受したSSL VPN認証ハッシュを解読するために、45個のGPUを搭載した強力なオフラインクラッキングリグを構築しました。Bitsightのセキュリティ研究者は、これが単なる理論ではないことを確認しています。日和見的なハッカーや洗練された国家支援型アクターが、すでにこのデータを使用して内部のActive Directory環境への侵入を開始しています。

技術的な「原罪」

FortiBleedの混乱の核心にあるのは、古いバージョンのFortiOSがパスワードハッシュをどのように処理していたかという点です。ファームウェアのアップデートを適用した後でも、管理者パスワードが弱いSHA-256ハッシュとしてシステム内に残ってしまうことが判明しました。これらは、ユーザーが物理的にログインするまで、より強力なPBKDF2標準に自動的にアップグレードされませんでした。その「ログイン待ち」というわずかな隙間が、攻撃者がハッシュを収集し、時間をかけて解読するために必要なすべての時間を与えてしまったのです。

その規模は、率直に言って恐ろしいものです。これらのアクターは、FortiGateターゲットに対して11億6,000万回以上の認証試行を行い、さらに21億回をMSSQLシステムに向けて行いました。45個のGPUクラスターをバックグラウンドで稼働させ、21,600以上の異なるドメインにまたがる73,932個の固有のファイアウォールURLの認証情報を正常に検証しました。データは本物であり、危険です。Hudson Rockのような研究者がこの拡散を追跡しており、その露出が広範囲かつシステム的なものであるという見解で一致しています。

標的となっているのは誰か?

インターネットからアクセス可能な世界中のFortiGateユニットの約半分が、この影響を受けています。被害者のリストには、Samsung、Siemens、OracleといったFortune 500企業や、さまざまな政府機関が名を連ねています。ある衝撃的な事件では、攻撃者は盗んだ認証情報を使用してNATOの防衛請負業者のネットワークに侵入し、機密文書を持ち出しました。

彼らは侵入後、ただそこに留まるわけではありません。永続性を維持し、内部ネットワークをマッピングするために設計された標準的なツールキットを展開しています。システム管理者は、以下の名称に注意を払う必要があります。

  • Chisel: HTTP経由の高速なTCP/UDPトンネル。ファイアウォールの制限を回避することを容易にします。
  • Neo-reGeorg: ピボットや詳細な偵察に使用される悪質なWebシェル。
  • EternalBlue: 足がかりを得た後に横展開(ラテラルムーブメント)し、権限を昇格させるための定番の選択肢。
指標 詳細
影響を受けたデバイス 73,932個の固有のFortiGate URL
世界的な影響範囲 194カ国
主な脆弱性 弱いSHA-256パスワードハッシュ
攻撃インフラ 45個のGPUクラスター
観測された活動 内部ADデータの能動的な流出

事後対応

FortiGateを運用している場合は、直ちにファームウェアのステータスを確認する必要があります。この脆弱性は、FortiOS 7.2.11、7.4.8、7.6.1より前のバージョンを実行しているデバイスに影響します。私たちの言葉を鵜呑みにせず、サイバー脅威インテリジェンスフィードを確認し、自身のインフラがオンラインで流通している流出データセットの一部になっていないか確認してください。

修正方法は単純ですが、手間がかかります。ファームウェアを最新のパッチ適用済みバージョンにアップデートしてください。これらのバージョンでは、より強力なパスワードハッシュへの移行が強制されます。さらに、管理者アカウントとVPNログを監査し、少しでも疑わしいものがないか確認する必要があります。Recorded Futureが指摘しているように、これらのアクターは消え去ることはありません。すべての認証情報をローテーションし、パブリックインターネットに公開されているすべての管理インターフェースで多要素認証(MFA)を強制する必要があります。

この膨大な認証情報リストをホストしているサーバーの発見は、研究者のVolodymyr "Bob" Diachenko氏によるものです。彼の功績は、エンタープライズグレードの機器においてレガシーなハッシュ手法に依存することが、災害の元であるという残酷な現実を浮き彫りにしました。インターネットに面したFortiGateデバイスを最近アップデートしていない場合は、すでに侵害されていると想定しなければなりません。

このキャンペーンは流動的です。これらのグループは、圧力を感じるとすぐに戦術を変えます。最善の防御策は、絶え間ないパッチ適用サイクルと、ネットワークトラフィックに対する警戒です。ChiselやNeo-reGeorgの兆候に注意し、アウトバウンドトラフィックの異常を監視し、横展開の兆候がないか確認してください。これほど大規模な漏洩が発生した今、「十分な」セキュリティでは不十分なのです。

V
Viktor Sokolov

Network Infrastructure & Protocol Security Researcher

 

Viktor Sokolov is a network engineer and protocol security researcher with deep expertise in how data travels across the internet and where it becomes vulnerable. He spent eight years working for a major internet service provider, gaining firsthand knowledge of traffic analysis, deep packet inspection, and ISP-level surveillance capabilities. Viktor holds multiple Cisco certifications (CCNP, CCIE) and a Master's degree in Telecommunications Engineering. His insider knowledge of ISP practices informs his passionate advocacy for VPN use and encrypted communications.

関連ニュース

FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks
FortiBleed vulnerability

FortiBleed Vulnerability Exposes 75,000 Fortinet Firewalls to Active Exploitation in Global Enterprise Networks

Discover how the FortiBleed campaign exploits exposed Fortinet firewalls. Learn why patching isn't enough to stop these active credential-stuffing attacks.

著者: Elena Voss 2026年6月23日 6 分の読み物
common.read_full_article
AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report
AI-driven identity attacks

AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report

Identity is the new perimeter. Discover how AI-driven phishing, agentic AI risks, and shadow operations are reshaping the 2026 cybersecurity threat landscape.

著者: James Okoro 2026年6月22日 5 分の読み物
common.read_full_article
Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware
Check Point VPN zero-day

Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware

Check Point issues urgent warning as Qilin ransomware exploits a zero-day VPN vulnerability. Learn how to secure your enterprise network against this active threat.

著者: Marcus Chen 2026年6月18日 5 分の読み物
common.read_full_article
CISA Issues Emergency Directive Requiring Federal Agencies to Patch Critical Check Point VPN Vulnerability
CVE-2026-50751

CISA Issues Emergency Directive Requiring Federal Agencies to Patch Critical Check Point VPN Vulnerability

CISA mandates federal agencies patch a critical Check Point VPN vulnerability (CVE-2026-50751) within 72 hours due to active Qilin ransomware exploitation.

著者: Elena Voss 2026年6月17日 3 分の読み物
common.read_full_article