FortiGateのSAML SSO認証バイパス（CVE-2025-59718/59719）が公開直後から悪用中です——FortiCloud SSO有効環境で認証なし侵入が可能です

今日の深掘りポイント

• FortiCloud SSOが有効なFortiGateで、SAMLロジック欠陥により認証を経ずにSSOログインを成立させられる事案が進行中です。
• MFAやIdP側のガードをすり抜ける「サービスプロバイダ側の検証不備」型で、アイデンティティ連携の信頼境界が直撃されます。
• IdPログとFortiGate側のSSO成功ログの「不整合」が検知の決め手になりやすい状況です。
• Fortinetは修正を提供済みとされ、当面は「パッチ適用＋FortiCloud SSOの一時無効化＋管理面（MGMTプレーン）の閉域化」が最短の被害最小化策です。
• 現場では既存セッションの強制無効化、管理者資格のローテーション、設定の完全差分監査までを同時に回す必要があります。

はじめに

境界機器は「侵入の最短距離」として国家系を含む攻撃者に執拗に狙われ続けています。今回報じられているのは、Fortinet FortiGateにおけるSAML SSO認証バイパスで、FortiCloud SSOを有効化している環境において、認証なしかつ低インタラクションで管理面に到達可能になる点が本質的なリスクです。報道では、公開直後からの悪用観測が示され、特定ホスティングプロバイダのIPからの不審なSSOログイン試行が12月12日に観測されたとされます。Vendorパッチが提供されている以上、境界面での曝露を一刻も早く縮小し、資格情報・セッション・設定に対する包括的な健全性確認を即時に回す判断が求められます。

本稿では、事実関係と構造的な教訓を分けて整理し、SOC運用・脅威ハンティング・アイデンティティ統制の観点から、実務で先に手を打つべき優先順位を提示します。

深掘り詳細

何が起きているか（事実）

• CVE-2025-59718 / CVE-2025-59719は、FortiGateでFortiCloud SSOが有効な場合に、SAMLフローの検証不備を突いて認証なしにSSOログインを成立させられる脆弱性です。報道では深刻度が非常に高く、公開直後からの悪用が指摘されています。
• セキュリティ企業の観測では、2025年12月12日に悪意のあるSSOログインが確認され、特定ホスティング事業者のIPアドレスを用いた管理者アカウントへのアクセス試行が記録されたとされます。
• Fortinetはパッチを提供しており、迅速な適用が推奨されています。被害最小化の暫定措置として、FortiCloud SSOの無効化と管理インターフェースのアクセス制限が挙げられています。
• 一部の運用実態として、FortiCloud SSOはデフォルト無効でもFortiCare登録時に自動有効化され得る点が指摘されており、意図せず攻撃面が広がっている環境が存在し得ます。
• 参考（報道）：The Hacker News: Fortinet FortiGate Under Active Attack Over SAML SSO Auth Bypass

ここから読み取れる設計リスクと運用上の盲点（インサイト）

• SAMLはIdPとSPの信頼関係と署名検証が安全性の要です。SP側（ここではFortiGateのSSO実装）の検証に欠陥がある場合、IdP側のMFA強化やポリシーでは防げない領域が生まれます。すなわち「MFAを入れているから安心」という一般的な前提が崩れる事案です。
• 攻撃条件が「FortiCloud SSOが有効なこと」に依存するため、攻撃面を最短で縮小する方法はSSO無効化と管理面の閉域化です。特に、インターネット側に管理HTTP(S)が露出している構成は直ちに見直すべきです。
• 管理面に到達されると、攻撃者は以下の横展開・持続化に移りやすいです：
  • 設定のエクスポートによるVPN/ユーザのクレデンシャル・PSKの窃取（保存形態次第で後日の侵入再現が可能になります）。
  • 新規管理者作成や既存権限の改変による持続化。
  • ポリシー改変や仮想ドメイン（VDOM）操作による迂回路の設置。
  • ログ送信先や監査設定の無効化による痕跡隠蔽。
• 監視の要諦は「IdP側の認証イベントとFortiGate側のSSO成功イベントの相関」です。SAMLバイパスの性質上、IdP側に該当ログが存在しない、あるいはユーザ属性が整合しない事象が検知糸口になります。加えて、短時間に地理的に離れたIPから管理面へのSSO成功が増える挙動は強いシグナルになります。
• 指標上も「即応性」「実運用での行動可能性」が突出しており、組織横断での緊急是正（パッチ、無効化、露出削減、ログ横断監査）に舵を切るべき局面です。

なぜ早期に悪用が進んだか（仮説）

• 公開後すぐに武器化されやすいのは、攻撃がHTTP(S)一往復レベルで完結しやすく、ユーザ操作を要さず検出も遅れがちだからと考えられます。
• 近年、境界機器のSSO実装や署名検証ロジックに対する自動テスト・差分解析が攻撃者側で高度化しており、ベンダーの修正差分やドキュメントから不備を迅速に特定する能力が高まっている可能性があります。
• FortiCloud SSOの自動有効化の運用実態が一部にあり得る点は、意図せぬ露出増と攻撃成功率の押し上げ要因になっている可能性があります。

脅威シナリオと影響

以下はMITRE ATT&CKに沿って想定する仮説シナリオです。実際の侵害経路は環境差があるため、あくまでハンティング計画の出発点として提示します。

• シナリオA（機会型スキャン→権限奪取）

  • Initial Access: T1190（公開アプリケーションの悪用）/ T1133（外部リモートサービス）として、SSOバイパスで管理面にログインします。
  • Privilege Escalation/Defense Evasion: T1098（アカウント操作）、T1070（ログ消去）で持続化と痕跡隠蔽を行います。
  • Credential Access: T1552（構成内の資格情報）として設定エクスポートからVPNユーザやPSKを窃取します。
  • Discovery/Lateral Movement: T1018（リモートシステム探索）、T1021（リモートサービス）で内部に横展開します。
  • Exfiltration: T1041（C2/HTTPSでの送出）で設定やキー素材を外部に搬出します。
  • 影響: ネットワークポリシー改変やバックドア設置により継続的な侵入基盤が形成されます。

• シナリオB（標的型：重要インフラ前段での足場化）

  • Initial AccessはAと同様です。
  • Persistence: T1136（新規アカウント作成）、既存管理者に類似名の追加で検知を遅延させます。
  • Collection: 集約拠点やSD-WANの設定を収集し、全拠点の到達パスと鍵素材を把握します。
  • Impact: T1489（サービス停止）に相当するポリシー変更で選択的に通信断を発生させ、交渉や破壊のレバーとして悪用されます。

• シナリオC（ランサム事前配置）

  • 事前にSSOバイパスで管理面を掌握し、ドメイン侵害に向けて踏み台を恒常化します。内部EDRの隔離ルールやフォレンジックの可視性を下げる設定変更が行われる可能性があります。

全体として、管理面到達を許すと「認証連携の信頼破綻→資格情報・鍵素材の横流し→恒常的な横展開」の流れが早く、止血ポイントが限定的になります。MFAやIdP側の厳格化だけでは塞がらないため、SP側のパッチと露出削減が不可欠になります。

セキュリティ担当者のアクション

緊急度が高いため、以下を優先度順で実施します。環境・監査要件に応じて変更管理プロセスを簡略化しつつ、記録は完全に残すことを推奨します。

• 0〜24時間（即応）

  • パッチ適用の最短ルートを確保します。該当FortiGateの機種・FortiOS/管理プレーンのバージョンを棚卸しし、該当資産を優先適用します。
  • 暫定措置としてFortiCloud SSOを無効化します。やむを得ず有効化維持が必要な場合も、外部からの直接到達を遮断します。
  • 管理インターフェースの露出を排除します。インターネット側のHTTPS/SSH管理を停止し、管理面は閉域・踏み台・IP制限のみで到達可能にします。
  • 全管理者セッションを強制終了します。現在ログイン中の管理セッション、APIトークン、SSOセッションを失効させます。
  • 管理者資格情報をローテーションします。ローカル管理者、バックアップ管理者、APIキー等を含めて再発行し、不要アカウントを停止します。

• 24〜72時間（インシデント精査と恒久化準備）

  • ログ相関監査を実施します。期間は公開日前後から現在までを対象に、以下の不整合を抽出します。
    • FortiGate側のSSO成功イベントに対して、IdP側（FortiCloud/自社IdP）に一致する認証イベントが存在しないケース。
    • 短時間に地理的に不自然なIPからのSSO成功、既存管理者の属性変更、ポリシー改変やログ転送停止のイベント。
  • 設定完全性の検証を行います。直近バックアップと現行設定を安全な環境で差分比較し、以下を重点確認します。
    • 管理者・RBACロールの追加/権限変更、ログ/転送設定の改変、VPN/SD-WAN/静的ルートの変更、カスタムスクリプトや自動化フックの有無。
  • 影響範囲（ブランチ含む）での横展開確認を行います。中央機器が侵害された場合、下位装置・認証サーバ・ログ保管基盤への到達も再評価します。

• 1週間以内（恒久対策と再発防止）

  • SSO再開方針の見直しを行います。SP側検証強化が提供された後も、IdP側の条件付きアクセスやネットワーク境界（管理面は社内/ゼロトラスト管理ネットワーク限定）を組み合わせます。
  • 管理面のゼロトラスト化を進めます。強制デバイス認証、mTLS、JIT（Just-In-Time）アカウント、緊急用Break-glassアカウントの金庫化を実装します。
  • 攻撃面監査を定常化します。外部公開資産（EASM）の観点で管理面の露出監査を定期実施し、Shodan等のクローラ可視性も継続測定します。
  • 検知強化をSIEM/UEBAで実装します。IdPとSPのSSOイベント整合性チェック、管理者の深夜帯ログインや地理的に不可能な移動、管理ポリシー改変の異常検知をユースケース化します。
  • 事業継続観点のコントロールを整えます。境界機器の設定・キー素材を分離保管し、緊急時にクリーンなゴールデンイメージで迅速復旧できる体制を整えます。

参考情報

• The Hacker News: Fortinet FortiGate Under Active Attack Over SAML SSO Auth Bypass（報道）: https://thehackernews.com/2025/12/fortinet-fortigate-under-active-attack.html

注意事項

• 上記の技術的詳細のうち、攻撃の痕跡や挙動は一般的なSAMLバイパス事案とFortiGate運用に基づく推測を含みます。正式な影響範囲、影響バージョン、回避策はベンダーの最新アドバイザリで必ず確認し、組織の変更管理・監査要件に従って実装してください。