主なポイント

✓ Fortinetは、FortiWebにおける新たなゼロデイ脆弱性を確認し、パッチを発行しました。
✓ この脆弱性は、認証された攻撃者による不正なコード実行を可能にするOSコマンドインジェクションです。

社会的影響

! この脆弱性は、特に連邦機関にとって重大なリスクをもたらす可能性があります。
! サイバー攻撃の増加により、企業や組織はセキュリティ対策を強化する必要があります。

編集長の意見

Fortinetの新たなゼロデイ脆弱性は、サイバーセキュリティの観点から非常に重要な問題です。特に、CVE-2025-58034は、認証された攻撃者による不正なコード実行を可能にするため、企業や組織にとって深刻なリスクをもたらします。これにより、攻撃者はシステムに対する完全な制御を得ることができ、さらなる攻撃やデータ漏洩の可能性が高まります。さらに、CISAがこの脆弱性を「既知の悪用された脆弱性」としてリストに加え、連邦機関に対して迅速な対応を求めていることからも、その重要性が伺えます。今後、Fortinetはこれらの脆弱性に対する詳細な調査を行い、影響を受ける顧客に対して適切な情報提供を行う必要があります。また、企業は自社のセキュリティ対策を見直し、最新のパッチを適用することが求められます。特に、FortiWebを使用している組織は、迅速に対応し、攻撃のリスクを軽減するための措置を講じることが重要です。サイバー攻撃はますます巧妙化しており、企業は常に最新の情報を把握し、適切な対策を講じる必要があります。

解説

FortiWebに4日で2つ目のゼロデイ。認証後OSコマンドインジェクションでRCE、CISAは迅速パッチを要請です

今日の深掘りポイント

「WAFは最後の砦」ゆえに、装置自体の侵害は攻撃者に“入口・遮断・改ざん”の三位一体の足場を与えます。認証後RCEは、ポリシー回避やログ改ざん、バックドア化を容易にします。
認証要件があるから安全、ではありません。資格情報の流出・再利用・装置外の脆弱性連鎖で容易に突破される前提で防御・監査を設計すべきです。
4日で2件のゼロデイ公表は、製品線の“運用耐性（パッチ速度・HA切替・監査性）”の再評価シグナルです。機能要件と同等にライフサイクル運用能力を選定基準に据えるべきです。
CISAが迅速パッチを求める“既知の悪用”扱いは、実害前提の優先度設定を意味します。WAFだけでなく、隣接するALB/リバースプロキシ/ID基盤も合わせて横断点検が必要です。
現場への示唆として、パッチ適用は“開始点”にすぎません。認証済みRCEの特性上、管理者アカウント・設定・ルール・証明書・ログの完全性検証と、装置再イメージを含む復旧手順の準備が要ります。

はじめに

FortinetがFortiWebにおける新たなゼロデイ脆弱性（CVE-2025-58034）を認め、わずか4日で2件目のゼロデイ対応となりました。性質はOSコマンドインジェクションで、認証を得た攻撃者が特 crafted なHTTPリクエストやCLIを用いて任意コード実行に至る可能性があります。米CISAは注意喚起を出し、連邦機関に対して迅速なパッチ適用を求めています。報道は以下を参照ください。The Registerの報道が全体像を伝えています。

本稿では、単なる告知の焼き直しではなく、WAFという“最後の防波堤”が侵害された場合のビジネス・運用・脅威の意味合いを解きほぐし、CISO・SOC・TIチームが今すぐ取るべき優先行動に落とし込みます。

深掘り詳細

事実関係の整理（確認できる範囲）

FortinetはFortiWebのOSコマンドインジェクション脆弱性（CVE-2025-58034）を公表し、修正は最新版ソフトウェアで提供されています。性質上、認証済みの攻撃者がRCEに到達し得ます。出典はThe Registerです。
直近4日で2つ目のゼロデイ対応となっており、連鎖的な狙い撃ちが続いている状況です。同報道は米CISAが注意喚起を出し、連邦機関に迅速なパッチ適用を求めている点も触れています。

ベンダ公式のPSIRTアドバイザリおよびCISAのKEVカタログで、影響バージョン・回避策・既知の悪用状況を随時確認すべきです（リンクは末尾）。本稿では一次情報の詳細版番号までは記載しません。各組織の保守契約・在庫機器構成に即し確認をお願いします。

Packet Pilotの視点（インサイト）

認証後RCEの重さ: 一般に“認証が必要な脆弱性は緊急度が低い”と捉えがちですが、WAFというコンポーネントでは逆です。WAFはアプリ面の全HTTP(S)フローを終端・検査し、しばしば鍵素材や管理API・ルール更新機能にアクセスできるため、装置を掌握されると「遮断→許可へ」「署名→バイパス」「レスポンス改ざん→スキミング」という攻撃者に有利な三重効果が生まれます。
“認証”は突破される前提で: 攻撃者は、既存の装置管理者資格情報の流出（監視不足の旧アカウント、ベンダ保守、再利用パスワード、装置外での情報損失）、別欠陥の連鎖、オンプレ管理インターフェース公開の誤設定、VPN/Bastion経由の侵入など、複数経路で認証を実現します。よって「資格が要るから後回し」ではなく、優先度は高のまま維持すべきです。
4日で2件＝運用耐性の試金石: ゼロデイが連鎖すると、単に“早く当てる”だけでは事故を生みます。WAFは可用性影響が大きく、検証・切替・ロールバックの運用成熟度が問われます。HAクラスタの無停止切替、カナリア適用、性能退行の事前評価、ルール・証明書のバックアップ完全性検証が、製品選定の“非機能要件”として改めて重要になります。
SOC/DFIR観点の難所: WAFは一般OSと異なりEDRが入らない前提で、監視はネットワーク/シスログ偏重になりがちです。認証後RCEでは“正規操作”に見える痕跡が残るため、管理者作成・設定変更・ルールヒット率の急変・外向き接続の新規発生など、ふだんから“ベースライン”を持って異常を捉える設計が決定的です。

脅威シナリオと影響

以下は仮説に基づく想定シナリオです。戦術・技術はMITRE ATT&CKに沿って記述します。

シナリオ1: 盗用資格情報＋認証後RCEでWAFを支配
- 侵入: 既存管理者アカウントの悪用（Valid Accounts: T1078）＋脆弱性悪用（Exploit Public-Facing Application: T1190相当、ただし管理プレーンに対する悪用）
- 実行: シェル実行（Command and Scripting Interpreter: Unix Shell T1059.004）
- 持続化: 起動スクリプト/cron/サービス改変（Create or Modify System Process: T1543、Scheduled Task/Job: T1053）
- 防御回避: ログ削除/無効化、検査ポリシー改変（Impair Defenses: T1562、Modify Authentication Process/Policy設定の改ざん）
- 偵察/横展開: 内部スキャン（Network Service Discovery: T1046）、隣接アプリや管理ネットワークへピボット（Lateral Movement: T1021）
- 影響: WAFルールの意図的な緩和による侵入拡大、レスポンス改ざんによるスキミング（Man-in-the-Middle: T1557、Data Manipulation: T1565）
シナリオ2: 脆弱性連鎖で“前提資格”を獲得してからRCEへ
- 前段: 別のFortiWeb/周辺機器の欠陥や装置外のID基盤弱点で管理資格を奪取（Credential Access: T1003/フィッシングなど）
- 後段: CVE-2025-58034でOSコマンド実行、設定・証明書・鍵素材の窃取（Exfiltration: T1041）→他システム侵害の起点化
- 影響: 短時間で複数境界を突破する“時間差ゼロデイ連鎖”により防御側の検知前に横展開を完了
シナリオ3: WAFを“踏み台・隠れ蓑”にする長期運用
- 侵入後、WAFをプロキシにしてC2通信を隠蔽（Proxy経由のCommand and Control: T1090）
- 検査ポリシーに例外を注入し、標的アプリ向けに特定URI/ヘッダを免除（Defense Evasion: T1562）
- 影響: 脅威アクターはWAFの“正当性”を盾に長期潜伏し、外形的には“アプリの攻撃増”に見せかけつつ、内実はWAF改変に起因する防御崩壊が持続

ビジネス影響は、オンライン売上・業務ポータルの真正性喪失、機密データの透過、PCIや個情法などのコンプライアンス違反、さらにはDDoS対策回避と組み合わせた可用性毀損まで波及します。WAF停止を避けたい心理が復旧判断を遅らせ、損害を拡大させるリスクが高い点も見逃せません。

セキュリティ担当者のアクション

優先度順に、現実的な運用手順へ落とし込みます。ゼロデイ連鎖の状況を踏まえ、“適用して終わり”にしない計画で臨むべきです。

即時の露出最小化

管理プレーンの到達制御を徹底します。インターネット直結をやめ、管理はVPN/Bastion経由の特権端末に限定します。許可元IP制限と多要素認証を必須化します。
CLI/REST APIの遠隔経路を一時的に閉じる/縮退運用へ切替えることを検討します（保守運用影響とトレードオフ評価を実施します）。

パッチ適用の設計と実行

ベンダのアドバイザリで影響バージョンと修正リリースを確認し、HA構成ならローリングアップグレードの手順を事前リハーサルします。可用性が許せば短時間のトラフィック切替（ALBやDNSによる）でリスクを最小化します。
カナリア装置での負荷・遅延・互換性テストを実施し、既知の回避策（ワークアラウンド）がある場合は緊急適用→本パッチへ移行の二段階を採ります。

侵害有無のトリアージ（パッチ前後いずれも必要）

直近30～90日の範囲で、管理者アカウントの新規作成/権限昇格、設定・署名・ルールセットの変更差分、外向き通信の新規発生、シスログの出力停止/転送先変更の痕跡を確認します。
HTTP管理UI/管理APIへのアクセス元の地理・ASN・時間帯の異常、CLIでの不審コマンド（wget/curl、nc/socat、ssh-key追加、cron登録など）をサーチします。
WAFが終端しているTLS鍵・証明書の不正持ち出し懸念があれば、証明書ローテーションとOCSP/CRLの反映計画を即時に実施します。

侵害疑い時の封じ込め・復旧

疑義があれば“上書き修復”よりも“クリーンイメージ再展開＋最小構成からのリストア”を原則にします。設定バックアップの完全性は別系統の保管データで検証します。
隣接機器（リバースプロキシ、API GW、ID基盤、ログサーバ）に横移動の痕跡がないか横断ハンティングを行います。資格情報の全面ローテーションを実施します。

監視の平時強化（今後の常設対策）

管理プレーンのベースライン監視（アカウント、設定、ルールヒット率、CPU/メモリ、外向きフロー）をダッシュボード化し、しきい値超過で自動アラートにします。
NDR/IDSでWAF発の異常通信（新規C2指標、管理ネットワーク外へのSSH/HTTP(S)）を検出します。装置のsyslogは改ざんを避けるためWORM相当のリモート保管を行います。
変更管理を厳格化し、すべての管理操作にチケット紐付と相互承認（Four Eyes）を課します。ベンダ保守アカウントは都度発行・ワンタイム化します。

ガバナンスとサプライヤ管理

製品選定KPIに「重大脆弱性の平均修正TTR」「連続ゼロデイ時のHA切替成功率」「アドバイザリの透明性（再現性・影響範囲）」を追加します。
MSSP/クラウドWAF併用時はフェイルオーバー手順とSLA（適用リードタイム・検知抑止のデグレ）を年次演習に組み込みます。

メトリクス全体像からは、実運用に直結する“即時性・行動可能性・発生確度”が高位で、ポジティブ要素は乏しい状況が読み取れます。つまり、本件は“パッチ適用の難易度が高い装置で、すでに悪用が生じている可能性がある”という厳しい条件が重なっていると解釈すべきです。だからこそ、可用性とセキュリティの綱引きを運用設計で解消し、段階適用・HA切替・迅速な完全性検査までをワンセットで回す体制を整えることが現場の勝ち筋になります。

参考情報

報道: Fortinet confirms second FortiWeb 0-day in four days – The Register https://go.theregister.com/feed/www.theregister.com/2025/11/19/fortinet_confirms_second_fortiweb_0day/
ベンダ公式（PSIRTトップ）: Fortinet PSIRT Advisories https://www.fortiguard.com/psirt
公式カタログ（トップ）: CISA Known Exploited Vulnerabilities Catalog https://www.cisa.gov/known-exploited-vulnerabilities-catalog

注: 上記の一次情報の詳細（影響バージョン、回避策、修正ビルド、KEV掲載状況や期限）は必ず最新を直接確認のうえ、組織の適用判断に反映してください。本稿のシナリオは一部仮説を含み、技術的詳細はベンダ公表に従います。

背景情報

i CVE-2025-58034は、FortiWebのOSコマンドインジェクション脆弱性であり、攻撃者が特別に作成したリクエストを通じてシステムコマンドを実行できる可能性があります。この脆弱性は、認証されたユーザーによって悪用されることが想定されています。
i Fortinetは、先週にも別の脆弱性（CVE-2025-64446）を発表しており、これもまた攻撃者による不正アクセスを可能にするものでした。これらの脆弱性は、連携して悪用される可能性が高いとされています。