Fortinetのファイアウォール製品「FortiGate」を含む複数の製品において、シングルサインオン(SSO)機能を回避できる深刻な脆弱性が公開され、すでに実際の攻撃で悪用されていると報告されています。認証を経ずに管理者アカウントへ不正ログインされる可能性があり、設定内容の窃取などにつながる恐れがあります。影響範囲は限定的とされる一方、公開から短期間で攻撃が確認されており、早急な対応が求められます。
The Hacker News:Fortinet FortiGate Under Active Attack Through SAML SSO Authentication Bypass
この記事のポイント
影響のあるシステム
- Fortinet FortiGate(FortiOS)
- FortiWeb
- FortiProxy
- FortiSwitchManager
- FortiCloud SSO 機能を有効にしている環境
推奨される対策
- Fortinetが公開している最新の修正パッチを速やかに適用する
- パッチ適用までの暫定対応としてFortiCloud SSOを無効化する
- 管理画面やVPNのアクセス元を信頼できる内部ネットワークに限定する
- 不審なログインや設定エクスポートの痕跡がないか確認する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE-2025-59718:Fortinet製品におけるSSO認証を回避できる脆弱性を示す共通脆弱性識別子です。
- CVE-2025-59719:上記(59718)と同様に、認証をバイパスするために悪用される可能性がある深刻な脆弱性です。
- SAML:異なるシステム間で認証情報をやり取りするための標準仕様です。
- CVSS:脆弱性の深刻度を数値で評価する国際的な指標です。
想定される被害シナリオと影響
報告によると、攻撃者は細工したSAMLメッセージを用いることで、認証情報を持たない状態でもSSOログインを成立させる可能性があります。特にFortiCloud SSOが有効な環境では、管理者アカウント「admin」への不正ログインが試みられ、実際に設定情報がGUI経由で外部へ持ち出された事例が確認されています。設定ファイルには、暗号化やハッシュ化された認証情報が含まれることが多く、これが攻撃者の手に渡ると、オフライン解析によって認証情報が推測される恐れがあります。その結果、ファイアウォール設定の改ざんや、他システムへの侵入の足掛かりとなる可能性も否定できません。
技術的背景と悪用状況
今回の脆弱性は、SAMLベースのSSO認証処理に不備があり、特定条件下で認証チェックを迂回できる点にあります。FortiCloud SSOは初期状態では無効ですが、FortiCareの登録時に明示的に無効化しない限り有効化される仕様とされています。この点が管理者に十分認識されていない場合、意図せず攻撃対象となる可能性があります。観測された攻撃では、限られたホスティング事業者に関連するIPアドレスが使用されており、現時点では特定の攻撃グループによるものかは判明していません。調査段階では、無差別的かつ機会主義的な攻撃の可能性があると報告されています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)も、2025年12月16日に本脆弱性(CVE-2025-59718)を「悪用が確認済みの脆弱性カタログ(KEV)」に追加し、行政機関などへ早期の修正を求めています。
国内組織が直ちに確認すべき点
日本国内の企業や組織においても、FortiGateをはじめとするFortinet製品は広く利用されています。まずは自組織の機器でFortiCloud SSOが有効になっていないかを確認し、該当する場合はパッチ適用まで無効化を検討することが重要です。また、管理画面へのアクセスログや設定エクスポートの履歴を確認し、不審な挙動がないかを点検する必要があります。もし侵害の兆候が確認された場合には、影響を受けたと想定して管理者認証情報のリセットを実施することが推奨されています。境界防御機器が侵害されると影響範囲が広がりやすいため、早期の確認と対応が被害抑止につながります。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
最新の投稿
2026.01.27Coolifyで11件の重大欠陥が判明、自己ホスト環境に全面的なリスク
2026.01.26小さな設定ミスが大きな被害に──ThreatsDayが示す最新セキュリティ動向
2026.01.25中国系とされる攻撃グループ、通信事業者を狙いLinuxマルウェアと中継ノードを展開
News2026.01.24WhatsAppを悪用したワーム型攻撃、ブラジルで銀行情報窃取マルウェアが拡散
