「FortiBleed」：Fortinetファイアウォール/SSL-VPNを狙う“既知パスワード”濫用が世界規模で進行中です

今日の深掘りポイント

• 脆弱性悪用ではなく「既知・流出済みパスワード」の使い回しを突く攻撃が主因です。装置の強度ではなく“人と運用”が突破口になっています。
• 規模は大きく、しかも自動化で横展開しやすい性質です。新奇性は低い一方で、緊急度と実効性は極めて高い攻撃です。
• SSL-VPNは“社内ネットワークへの最短経路”です。正規認証を経た侵入は検知が遅れ、被害の裾野が広がります。
• いま問われているのは「IDベースのゼロトラスト化」「ローカル認証の廃止」「クライアント証明書・FIDO2の併用」です。パスワード運用の再設計が急務です。
• 「全社のVPN/ネットワーク機器の一斉クレデンシャル再発行」「MFA強制」「ログの横断点検」を即時に着手すべき局面です。

はじめに

Fortinetのファイアウォール/SSL-VPNが、通称「FortiBleed」と呼ばれる攻撃キャンペーンで広範に狙われています。報道によれば、攻撃者はインターネットに露出したFortinet機器を自動スキャンし、既知・流出済み・推測容易なパスワードでログインを試行しているとされます。Accenture、Comcast、Lenovoなどの名も挙がり、被害が目立つ地域としてインド、米国、台湾、メキシコが言及されています。脅威のコアは、製品固有のゼロデイではなく、認証情報の衛生管理の破綻です。だからこそ、対応は「パッチ適用」だけで完結せず、アイデンティティとアクセス制御の全体設計を見直す必要があります。

このニュースは、すぐ動けば被害を大きく減らせる一方、動かなければ静かに深手を負うタイプの案件です。緊急性と行動可能性が高く、新奇性は低い——つまり「基本の徹底」を怠った組織から順に倒れていく配置です。SOC/IRの視点では、成功ログイン後の痕跡が地味で、偽陽性と見分けにくい点が特に厄介です。

参考となる一次報道は以下のとおりです。TechCrunchはHudson RockやSOCRadarの観測を引きつつ、数万規模の影響を伝えています。一次データそのものは各社の公開を待つ部分もありますが、組織側の即応は待ったなしです。

• TechCrunch: “Cybercriminals allegedly hacked tens of thousands of Fortinet firewalls...” TechCrunch, 2026-06-17

深掘り詳細

事実関係（報道で確認できる点）

• 攻撃はFortinetファイアウォール/SSL-VPNのインターネット露出面に対し、既知・流出済みパスワードを用いた自動ログイン試行を行う手口と報じられています。脆弱性のエクスプロイトではなく、クレデンシャル濫用が中心です。
• 規模感は「数万台」の装置・URLが影響範囲に入るとの観測が引用されています。Hudson RockやSOCRadarのデータに基づく言及があり、特定企業名と国名が挙がっています（TechCrunch報道経由）［出典: TechCrunch］。
• 報道に登場する攻撃者像は“サイバー犯罪者”であり、露語話者グループ関与の示唆も散見されますが、国家関与については現時点でオープンソースの確証は限定的です。ここは推測の域を出ないため断定は避けます。

出典:

• TechCrunchによる当該報道［上掲リンク］です。

編集部インサイト（仮説を明示）

• なぜ“今”広がるのか（仮説）です。近年の情報スティーラー感染で流出した企業・個人アカウントの“組織横断的な再利用”が常態化しており、装置管理者やVPN利用者の資格情報が闇市場で容易に手に入る状況が背景にあります。攻撃者は“企業名ドリブン”で該当ドメインのFortinetポータルを探し、流出クレデンシャルを機械的に試すだけで初期侵入に成功します。
• この手口は「防御側の錯視」を突きます。成功ログインは“正規行為”に見えるため、IDS/WAFのしきい値で止まりません。ゼロデイより地味で、検知も遅れます。検出の山を作るのは失敗試行（スプレー/スタッフィング）ですが、適切なレート制御や地理ブロックをしていないと、成功ログイン後の追跡に目が届きません。
• Fortinetに限らない“装置のアイデンティティ問題”です。ネットワーク機器は「ローカル管理者」「ローカルVPNユーザー」「PSK（IPsec/サイト間）」などパスワード系の秘密が多重に存在します。人事異動や外注解約のたびに全てを一括ローテーションする仕組みが未整備だと、年単位で既知パスワードが放置されます。名称が“FortiBleed”であっても本質は“Password Bleed”です。
• 影響は“静かに大きい”です。SSL-VPNで社内に入られた後は、EDR未導入セグメントや管理NWに寄られやすく、特権アカウントの奪取、ドメイン横展開、バックアップ/設計図/顧客データなど“身代金/恐喝に強い”データに早着手されます。結果として、可用性停止より情報恐喝・二重/三重恐喝の比重が高まる傾向があります（編集部の観測的推測です）。

脅威シナリオと影響

以下はMITRE ATT&CKに沿って、今回の報道を踏まえた想定シナリオ（仮説）です。個社環境により前後は変動します。

• 初期侵入

  • T1110.004 Credential Stuffing / T1110.003 Password Spraying: 流出・既知パスワードの自動適用です。
  • T1078.001 Valid Accounts: Default/ローカルアカウントの継続利用が突破口になります。
  • 予備: T1190 Exploit Public-Facing Application（既知CVEが併用される可能性は常にあります。現時点の主因はクレデンシャルとされますが、将来的な併用に備えるべきです）。

• 権限維持・防御回避

  • T1098 Account Manipulation / T1136 Create Account: 新規管理者やVPNユーザーを追加し居座ります。
  • T1562 Impair Defenses: ログ転送停止や通知無効化などの妨害です（装置権限で可能な範囲）。
  • T1070 Indicator Removal: 管理イベント/監査ログの削除・ローテーション誘発です。

• 横展開・認証情報奪取

  • T1021 Remote Services（RDP/SMB/SSH/WinRM）での東西移動です。
  • T1003 OS Credential Dumping: DC/特権端末での資格情報収集です。
  • T1556 Modify Authentication Process: IdP/SSO連携設定やMFAバイパスの改変を図る場合があります。

• 情報収集・持ち出し

  • T1087 Account Discovery / T1046 Network Service Discovery: 標的資産の特定です。
  • T1105 Exfiltration Over C2 / T1041 Exfiltration Over Web Services: VPN越し/HTTPSで静かに流出です。
  • サプライチェーン波及: 管理用踏み台/リモート運用経路の悪用により、顧客環境への二次侵害リスクが生じます。

• 影響

  • 機密情報・設計・顧客データの流出、脅迫、攻撃基盤としての社内資産転用です。
  • セグメント外のOT/生産設備やコアNWに到達した場合、業務停止リスクが増します。

国家関与の示唆は一部で語られますが、現時点の公開情報だけでは断定できません。犯罪エコシステムに乗る“実利志向”の攻撃として備えるのが妥当です（編集部見解です）。

セキュリティ担当者のアクション

“ゼロデイではない分、動いた組織が勝つ”局面です。時間軸で優先度を整理します。

• 0〜24時間（即応）

  • 全Fortinet機器（FortiGate/SSL-VPN/管理面）の外向け露出を棚卸しし、管理プレーンは閉域化/信頼ホスト制限/IPフィルタで遮断します。
  • SSL-VPNの認証方式を確認し、SAML/OIDC経由のIdP認証＋MFAへ強制します。ローカルユーザー/ローカル認証は無効化/限定化します。
  • クレデンシャルの一斉ローテーションを開始します（管理者/ローカルVPNユーザー/APIユーザー、RADIUS/TACACS/LDAPのバインド、IPsec PSK、SNMPコミュニティ、バックアップ暗号パスフレーズ、HA鍵など装置関連の“すべての秘密”を対象にします）。
  • ログ横断点検を即時に開始します（FortiGateのeventtype=subtype=sslvpn/管理ログ）。以下を高優先で絞り込みます。
    • 1つのIPから多数ユーザーへの失敗試行（スプレー）→直後の成功ログイン。
    • 通常地域外/勤務時間外の成功ログイン（不可能旅行含む）。
    • 新規管理者作成、認証設定変更、ログ転送停止/変更などのコンフィグイベント。
  • 異常が疑われるアカウントは即時無効化し、端末/サーバの強制サインアウト、リフレッシュトークン無効化、パスワード変更まで一気通貫で実施します。

• 48〜72時間（封じ込めと健全化）

  • SSL-VPNにクライアント証明書必須（mTLS）を有効化します。可能ならFIDO2/WebAuthnをIdP側で強制します。
  • 地理ブロック/ASブロック/レート制限/アカウントロック方針を整備します。ロックによるDoS影響は運用で吸収できる範囲に調整します。
  • セッション有効期限・同時接続数・ブックマーク/ポータル機能の最小化、Split-Tunnelの是非を再評価します。
  • SIEMで恒常的な検知ルールを配備します。
    • 短時間での多ユーザー失敗試行しきい値超過。
    • VPN成功直後に管理系/ファイルサーバ/ADへの高リスクアクセス。
    • Fortinet機器の設定変更イベントのアラート化（誰が・どこから・何を）。
  • EDR/端末健全性（ posture ）連携をVPN入場条件にします（未管理端末は拒否/隔離）。

• 1〜2週間（構造的対策）

  • ローカル資格情報ゼロ化へ設計変更します。原則：装置もユーザーもIdP経由SAML/OIDC＋MFAで統一し、ローカルは非常用のみにします。
  • 既知漏洩パスワード拒否（Have I Been PwnedのPwned Passwordsやディクショナリ）を導入し、パスワード“作らせ方”を変えます。パスワードの“定期変更”ではなく“漏洩検知即変更＋MFA常時”へ移行します。
  • ゼロトラスト・セグメンテーションの強化です。VPN入場後も“何に入れるか”をアイデンティティと端末状態で制御し、横移動を物理的に困難化します。
  • バックアップ/設計図/機密保管庫など“恐喝価値が高いデータ”の所在を棚卸しし、暗号化・アクセス最小化・アクセス監査を強化します。
  • サプライヤ/委託先のVPN・装置運用に対しても同等の要件を契約に反映します（サプライチェーンの逆流を防止します）。

• インシデントレスポンス（侵害疑い時の追加）

  • Fortinet機器の設定差分を取得し、不審な管理者/ポリシ/オブジェクト/自動化スクリプト/ログ転送先の有無を監査します。
  • FortiManager/FortiAnalyzerがある場合は両者も完全監査します。管理ハブが侵害されると全装置へ横展開されます。
  • 侵害タイムライン（最初の成功ログイン→設定変更→内部アクセス）を復元し、同時間帯の他のインターネット露出サービスも横断確認します。

最後に、この件の“メトリクス的含意”を一言でまとめます。いまのシグナルは「至近で起き得て」「行動に移せば抑え込め」「新しさはないが」「放置した組織は高確率で刺さる」という型です。対応優先度は高く、かつ“装置のパッチ”ではなく“アイデンティティと運用の刷新”にこそリソースを割くべきフェーズです。ゼロデイ狩りより、パスワードとMFAの土台を固めるほうが投資対効果が高い案件です。

参考情報

• TechCrunch: “Cybercriminals allegedly hacked tens of thousands of Fortinet firewalls used by major companies all over the world” (2026-06-17) https://techcrunch.com/2026/06/17/cybercriminals-allegedly-hacked-tens-of-thousands-of-fortinet-firewalls-used-by-major-companies-all-over-the-world/