パッチを適用しても攻撃されるFortinet製品の脆弱性 1万4000台以上で侵害

脆弱性にパッチを当てて対策した後でも被害が続くサイバー攻撃が存在する。Fortinet製品に対して日本を含む各国でこのような攻撃が広がっている。

[Rob Wright，Cybersecurity Dive]

　サイバーセキュリティサービスを提供する非営利団体のShadowserver Foundationは2025年4月12日、全世界で1万4000台以上のFortinetのデバイスが侵害されたことを報告した（注1）。すでに知られている脆弱（ぜいじゃく）性を悪用した攻撃で（注2）、シンボリックリンクを利用した永続化のメカニズムを展開したようだ。

パッチを適用しても攻撃されるFortinet製品の脆弱性

　Fortinetは2025年4月7日に投稿されたブログ記事において（注3、注4）、攻撃者が「CVE-2022-42475」と「CVE-2023-27997」（注5、注6）、「CVE-2024-21762」を含む古い重大な脆弱性を悪用して「FortiGate」デバイスにアクセスする（注7）危険性について警告した。デバイスにパッチが適用された後も永続化のメカニズムを通じて読み取り専用のアクセスを維持している可能性あるからだ。

　これはシンボリックリンクの変更がベンダーによる検出を回避し、更新後も永続しているためだという。シンボリックリンクは、基本的にファイルへのショートカットだ。

　The Shadowserver Foundationによる最新のスキャンでは（注8、注9）、アジアで約7000台のFortinetのデバイスが侵害されており、欧州と北米ではそれぞれ約3500台と約2600台のデバイスに対する侵害が確認された。侵害されたデバイスが最も多く見つかったのは米国と日本、台湾、中国だ。

　Fortinetのカール・ウィンザー氏（最高情報セキュリティ責任者）は「シンボリックリンクのメカニズムがデバイスのユーザーファイルシステムに埋め込まれて、ファイルに対する読み取り専用のアクセスを提供している。これにはデバイスの設定が含まれる場合もある」と述べた。SSL-VPNを有効にしていない顧客は、この脅威活動による影響を受けていないとも指摘した。

　2025年4月11日に発表されたアドバイザリーにおいて、ニュージーランドのコンピュータ緊急対応チーム（CERT-NZ）は「この脅威活動は2023年にさかのぼるFortinetの脆弱性の広範な悪用に関わるものだ」と述べた。CERT-NZはシンボリックリンクメカニズムがFortinetのデバイスに存在する機密性の高いデータに対するアクセス権を攻撃者に与えた可能性があるとも警告した。

　CERT-NZのアドバイザリーには（注10）、攻撃者は侵害されたデバイスを活用して機密ファイルや認証情報、暗号鍵などにアクセスできた可能性があると記されている。

　他の政府機関もFortinetに対する脅威活動に関する警告を発表した。フランスのコンピュータ緊急対応チーム（CERT-FR）は「この新しいポストエクスプロイテーションの手法が国内で攻撃に広く使用されている」と述べた。同機関はアドバイザリーの中で「多数の侵害されたデバイスが関与する大規模なキャンペーンがフランスで広がっていることを把握している。インシデント対応の過程で、2023年の初めから侵害が発生していることを確認した」と述べた（注11）。

ポストエクスプロイテーションとは何か

　ポストエクスプロイテーションとは、攻撃者がシステムの侵入に成功した後に実行する一連の行動だ。攻撃者は侵害したシステムからデータを抽出したり、アクセスを維持したりすることを目的に動く。

　主な行動パターンは4つある。侵入したシステムから機密情報やユーザーの認証情報を得る「データ収集」、低権限アカウントから管理者権限を取得する「権限昇格」、システムへの持続的なアクセスを確保する「アクセスの維持」、侵害したシステムから他のシステムへ移動してネットワーク全体に対する制御を拡大する「横展開」だ。

　ポストエクスプロイテーションは検知が難しく、被害が深刻化しやすい高度なサイバー攻撃のフェーズだと言える。（キーマンズネット編集部）

　ウィンザー氏は「Fortinetは脅威活動の影響を受けた顧客に直接連絡を取った」と述べた。Fortinetはデバイスのファイルシステムからシンボリックリンクを検出して削除し、それが再展開されるのを防ぐための更新プログラムと緩和策を公開した。

　しかし、更新プログラムを適用して、悪質なシンボリックリンクを削除するだけでは、侵害が発生した場合に十分ではないとCERT-FRは強調した。同機関は影響を受けた顧客に対して、侵害されたデバイスをネットワークから隔離し、悪質な活動を調査するために「データ凍結」を実施するよう求めた。影響を受けたデバイスの全ての秘密情報（パスワードや証明書など）をリセットし、侵害されたデバイスを通じて送信された可能性のある全ての認証情報をリセットするように呼び掛けた。

　「Cybersecurity Dive」はFortinetにコメントを求めたが、同社から返答はなかった。

出典：Over 14K Fortinet devices compromised via new attack method（Cybersecurity Dive）
注1：@Shadowserver（X）
注2：Fortinet warns of threat activity against older vulnerabilities（Cybersecurity Dive）
注3：Analysis of Threat Actor Activity（Fortinet）
注4：Analysis of Threat Actor Activity（Fortinet）
注5：CVE-2022-42475 Detail（NIST）
注6：CVE-2023-27997 Detail（NIST）
注7：CVE-2024-21762 Detail（NIST）
注8：General statistics Time series（The Shadowserver Foundation）
注9：General statistics Time series（The Shadowserver Foundation）
注10：Malicious activity due to previously exploited vulnerabilities in Fortinet FortiOS products（CERT-FR）
注11：Bulletin d'alerte du CERT-FR（CERT-FR）

原文へのリンク