FortiGate認証バイパス（CVE-2025-59718）悪用進行—設定ファイルの持ち出しが“第二波攻撃”の触媒になります

今日の深掘りポイント

• 管理者認証のバイパスを介して設定バックアップが盗まれると、VPNプリシェアードキーや証明書、ネットワークトポロジといった“侵入後の鍵”が一挙に揃います。これは初動侵入の次段を極端に容易にします。
• エッジ機器の管理面がインターネットから到達可能な組織ほど危険で、国家系を含む持久的なアクターによる時間差攻撃が成立しやすいです。アップデートだけでなく、秘密情報の全面ローテーションと管理面の分離が急務です。
• 実運用では、修正適用済みでも“既に抜かれていた”前提で、設定エクスポートの有無と異常ログインの遡及調査を走らせるべきです。構成持ち出しが確認・疑われる場合、VPN・管理者・ディレクトリ連携・証明書を包括的に棚卸・入替します。

はじめに

FortinetのFortiGateファイアウォールに、認証をバイパスできる脆弱性（CVE-2025-59718）があり、実際の悪用が確認されています。報道によれば、この不具合を突かれると管理者として設定ファイルのエクスポートが可能になり、ネットワークやインフラに関する詳細な情報が攻撃者の手に渡る状況です。Fortinetは2025年12月9日に脆弱性を公表し修正を案内しており、米国CISAは既知の悪用脆弱性（KEV）に追加して期限付きの対策を求めています。いずれも報道ベースの情報ですが、政府・重要インフラで広く使われる機器の性質上、被害の波及が懸念されます。Help Net Securityの報道が現時点の一次報道として有用です。

本稿では、発表情報と報道から読み解ける事実と、その先に見える運用上の落とし穴、対処の優先順位を編集部視点で整理します。

深掘り詳細

事実関係（報道ベースの整理）

• CVE-2025-59718はFortiGate（FortiOS）などに影響し、特定条件下で認証をバイパスできる問題です。悪用により管理者権限で設定ファイルがエクスポートされ、ネットワーク情報が取得されるケースが報告されています。出所：Help Net Security報道。
• Fortinetは2025年12月9日に脆弱性を公表し、修正済みバージョンへのアップグレードを推奨しています。出所：Help Net Security報道。
• CISAが既知の悪用脆弱性カタログ（KEV）に追加し、期限（報道では2025年12月23日）までの是正を連邦機関に求めていると報じられています。出所：Help Net Security報道。
• 報道では、SAMLレスポンス検証に起因する認証バイパスの側面が示唆されており、SSO経路が影響する可能性が指摘されています。出所：Help Net Security報道。

上記は公開報道に基づく要点であり、詳細な影響バージョンや恒久対策はベンダーの正式アドバイザリで必ず確認すべきです。

編集部インサイト（仮説を含む）

• 設定ファイルの価値は“単なるバックアップ”の範囲を超えます。多くのネットワーク機器では、VPNプリシェアードキー、証明書、トンネル定義、静的ルート、アドレスオブジェクト、管理者や接続先ディレクトリの情報などが含まれます。暗号化・秘匿されていても、攻撃側は「攻撃準備に不可欠な地図と鍵束」を同時に得るため、時間差での二次侵入に直結しやすいです。
• SAML／SSOの検証不備が絡む場合（報道からの推測）、多要素認証や強パスワードといった“要素技術”の堅牢性を横断的に無力化し得ます。管理面がインターネット到達で、IdP連携を前提にしている環境ほどリスクが高まります。
• メトリクス的に見ると、直近で観測される実害可能性と対応容易性のギャップが大きい案件です。適用すべき対策は明快（アップデートと露出縮小、秘密情報のローテーション）である一方、既に設定が抜かれていた場合の後処理は重く、かつ検出が難しい領域が残ります。だからこそアップデート済みでも“過去に遡る”監査とローテーションの計画を先に立てるべきです。
• エッジ機器を足がかりにした長期侵害は過去にも繰り返されてきました。装置そのもののハードニングに閉じず、ネットワーク設計（管理面の分離・OOB化・ゼロトラストの原理を適用した運用）に踏み込まない限り、同種の事案が再発しやすい構造です。

脅威シナリオと影響

以下は、現時点の公開情報から編集部が組み立てた仮説シナリオです。具体的なTTPは環境差分が大きいため、MITRE ATT&CKのテクニックは代表例として提示します。

• シナリオA：インターネット露出した管理面の初動侵入

  • 侵入: 公開管理インターフェースに対し認証バイパスを悪用（ATT&CK: Initial Access/Exploit Public-Facing Application, T1190）。
  • 行動: 管理者権限で設定ファイルを取得し、トポロジ・VPN設定・証明書・アカウント情報を解析（Credential Access/Unsecured Credentials: Credentials in Files, T1552.001）。
  • 横展開: 抜き取ったVPNプリシェアードキーや証明書を用いて社内へ正規チャネルで再侵入（Lateral Movement/Valid Accounts, T1078; Lateral Movement/Remote Services, T1021）。
  • 防御回避: ファイアウォールポリシーの微細な改変や新規アドレスオブジェクト追加、ログ設定の変更による検出回避（Defense Evasion/Impair Defenses, T1562）。
  • 影響: データ窃取、持続化、他拠点への波及。

• シナリオB：SSO/SAML連携のすり抜けを足場にした権限取得

  • 侵入: SAMLレスポンス検証の不備を突いて管理者相当のセッションを確立（Initial Access/Exploit Public-Facing Application, T1190）。
  • 権限維持: 新規管理者アカウント作成やAPIトークン発行、バックドアポリシー作成（Persistence/Create Account, T1136; Defense Evasion/T1562）。
  • 情報収集・侵害拡大: 設定情報からディレクトリ連携・上流IdP情報を特定し、認証基盤を横から攻める準備（Discovery各種: Account/Network/Service Discovery, T1087/T1049/T1046）。
  • 影響: 認証連鎖の中枢に近づくことで、長期的な認証迂回の足場を得る。

• シナリオC：重要インフラ・政府系の多拠点環境

  • 侵入後にハブ拠点の設定情報から各支社・OT境界の到達性を把握し、時間差で各拠点へ侵入。運用上のメンテナンスポート（管理用VPN）を正規利用してサプライチェーン的に横展開する構図です。
  • 影響: 広域の業務中断、復旧工数の長期化、規制当局への報告義務発生などの二次コストが顕在化しやすいです。

いずれのシナリオでも、設定ファイルが“侵入の次の一手を最適化する情報”として機能し、攻撃のスピードと静粛性が増す点が脅威の本質です。

セキュリティ担当者のアクション

“適用して終わり”にしないための優先順位付きチェックリストです。既に悪用が進んでいる前提で、パッチ適用と並行して過去を振り返る監査と秘密情報の棚卸を即時に動かすべきです。

• 露出の把握と縮小（最優先）

  • 管理インターフェース（GUI/SSH/API/SSO）への到達経路を棚卸し、インターネットからの直接到達を遮断します。管理セグメントをOOBまたは特定踏み台経由に限定します。
  • 既にゼロトラスト系の境界制御を導入している場合でも、装置自身のアクセス制御リスト（ACL）で許可元を最小化します。

• ベンダー推奨版への即時アップグレード

  • Fortinetの正式アドバイザリで影響バージョンと修正リリースを確認し、速やかにアップデートします。高可用構成ではローリングでの適用計画を前倒しします。

• 既存侵害の有無を遡及調査（アップデートと同時進行）

  • 対象期間: 脆弱性公表前後から現在まで。管理者ログイン（成功/失敗）、SSOイベント、設定変更、バックアップ/エクスポート操作の痕跡を横断的に確認します。
  • 兆候: 想定外の管理元IP・時間帯、新規管理者作成、ログレベル変更、ポリシー微修正、未知のAPIトークン発行などを重点確認します。
  • 監視の観点: 端末側SIEMだけでなく、装置本体のイベントログ、外部Syslog、認証基盤（IdP/LDAP/RADIUS）の監査ログを突合します。

• 秘密情報のローテーション（設定持ち出しが疑われる/確実な場合は必須）

  • 管理者パスワード、装置間の信頼情報、ディレクトリ接続アカウント（Bind DN等）、APIトークンを再発行します。
  • VPNプリシェアードキー、ユーザー認証情報、デバイス証明書、トラストアンカー（CA）を段階的に置換します。置換順は“外部から使える鍵”→“内部だけで完結する鍵”の順にします。
  • 既存バックアップファイルの保管先・アクセス権を監査し、不要な保管を削減します。

• 一時的な緩和策（ベンダー指示を優先）

  • 管理者SSOを利用している場合、修正適用までの間はローカル認証に切り替える等の暫定措置を検討します。多要素認証は維持しつつ、SSO経路の信頼境界を縮めます。
  • APIアクセスの無効化/レート制限、管理ポート番号・経路の見直しを行います。

• 検知体制の強化（恒久運用）

  • ユースケース駆動の検知: “設定エクスポートの検知”“新規管理者作成”“ポリシー変更直後の外向き通信増加”を一連の相関ルールとして用意します。
  • 管理面のヘルスチェック: バージョン逸脱・設定差分の継続監査、未知の証明書/鍵の登録検知を自動化します。
  • エッジ機器専用のアタックサーフェス管理: インターネット露出や既知脆弱性の棚卸を定期ジョブ化します。

• インシデント対応の準備

  • 設定流出が判明した場合、法令・契約に基づくインシデント分類と通知判断を速やかに行います。重要インフラ・公共系は規制当局への報告要件を事前に確認します。
  • 復旧プランでは“設定を戻す”だけでなく、鍵と証明書の全面更新、ポリシーの再検証、SSO信頼関係の再構築までを含めます。

• 中長期の設計見直し

  • 管理面のゼロトラスト化（強制プロキシ/デバイス証明/継続的認証）、OOBネットワークの導入、構成秘密の外部化（機器に機密を持たせない設計）を段階導入します。
  • SSO/SAMLの署名検証やアサーション制約（Audience/Recipient/Issuer）のベストプラクティスをIdP側・SP側の両面で点検します。

参考情報

• Help Net Security: FortiGate vulnerability CVE-2025-59718 exploited to export device configuration files（2025-12-17）: https://www.helpnetsecurity.com/2025/12/17/fortigate-vulnerability-cve-2025-59718-exploited/

注記

• 本稿の事実関係は上記公開報道に依拠しており、詳細条件や恒久対策はベンダーの正式アドバイザリで必ず確認する前提で記載しています。構成要素やログ名称の具体は環境により異なるため、検知/対応手順は自組織の実装に合わせて調整してください。