未修正のまま5年放置――1万台以上のFortiGateが今、ランサムウェアの標的に？

Fortinet製品の既存の脆弱性を狙ったサイバー攻撃が再燃している。対応策が公開されてから年月を経ているにもかかわらず、ユーザー企業が修正していないことが原因だ。

[David Jones，Cybersecurity Dive]

　企業は脆弱（ぜいじゃく）性への迅速な対応に多くの課題を抱えている。だが、長年明らかになっていた脆弱性に手を付けていない場合、ユーザー企業側にも問題があるといえる。実際に、そのような事例が確認された。

　Fortinetは、古い脆弱性を狙った攻撃が実際に発生していることを公表した。さらに、研究者は数千のFortinet製品が依然として悪用リスクにさらされていると警告している。

未修正のまま5年放置――1万台以上のFortiGateが今、ランサムウェアの標的に？

　Fortinetは2025年12月24日（現地時間）に公開したブログ（注1）で、この脆弱性を「CVE-2020-12812」（注2）と特定した。直近数週間で実際に悪用が確認されているという。ただし、攻撃者がこの脆弱性を悪用するには、ユーザー側が特定の構成で運用していることが前提となる。

　この脆弱性は新しいものではない。「FortiOS」のSSL VPNにおける不適切な認証に関するもので（注3）、ユーザーが第2要素の入力なしでログインできてしまう可能性がある。

　Fortinetによると、特定の構成下では、「FortiGate」がLightweight Directory Access Protocol（LDAP）のユーザーに二要素認証を回避させて、代わりにLDAPに直接認証させてしまう可能性がある。同社は「これはLDAPのディレクトリの挙動の違いに起因している」と説明した。

大文字と小文字を区別するかしないか

　この問題はFortiGateがユーザー名を大文字と小文字をデフォルトで区別していることに対して、LDAPのディレクトリ側は大文字と小文字を区別しないという仕様の違いに起因している。

　サイバーセキュリティ事業を展開するThe Shadowserver Foundationの研究者は2026年1月2日に、元の脆弱性が2020年7月に公開されているにもかかわらず、1万台以上のFortinet製のファイアウォールが依然として未修正のままだと警告した（注4）。

　脆弱性インテリジェンスを提供する企業VulnCheckによると、この脆弱性は過去数年にわたり、「Play」や「Hive」として追跡されているランサムウェアグループを含むさまざまな攻撃者によって悪用されており、中にはイランと関係のある攻撃者も含まれているという。

　VulnCheckでセキュリティリサーチを担当するケイトリン・コンドン氏（バイスプレジデント）は、『Cybersecurity Dive』に次のように語った。

　「脆弱性自体は、FortiGateのSSL VPNにおける不適切なアクセス制御の欠陥で、標的環境への初期侵入を可能にするものだ。これは攻撃者にとって常に人気の高いタイプの脆弱性だ。5年以上前の脆弱性が攻撃でいまだに悪用されているのは残念なことだが、驚くべきことではない」

　同社は、影響を受けた可能性を示す証拠がある場合は連絡を取るようユーザーに求めている。

出典：Thousands of firewalls at risk as legacy flaw in Fortinet faces renewed threat（Cybersecurity Dive）
注1：Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283（Fortinet）
注2：CVE-2020-12812 Detail（NIST）
注3：FortiOS MFA bypass by changing username case（FortiGuard Labs）
注4：Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283（Fortinet）