FortiOS SSL VPNのCVE-2020-12812が再燃——設定依存の2FAバイパスを突く実攻撃が観測、年末の運用に即時対処が必要です

今日の深掘りポイント

• 5年前のCVE-2020-12812（SSL VPNの不適切な認証）が再び実運用で悪用されており、条件次第で2FAがスキップされる設計不整合が本質です。
• 既知の脆弱性でありながら、ユーザー名の大文字小文字の扱いとLDAP/AD連携の組み合わせが“設定依存”の地雷になりやすい点が見落とされがちです。
• 攻撃はゼロデイではなく「正規資格情報＋2FA回避」の初期侵入が中心で、VPNを足掛かりに横展開する脅威シナリオが現実的です。
• 兆候の特徴は「多様な大小文字バリエーションでのログイン試行」「2FAチャレンジの欠落を伴う成功ログ」「同一IPからの短時間多試行」などです。
• 緊急対応はパッチ適用だけでは不十分で、IdP側でのMFA強制、ユーザー名正規化、ローカル認証フォールバックの無効化、異常ログイン検知の強化が要点です。
• 過去の公的勧告が示す通り、国家関与を含む攻撃者が継続的に本脆弱性群を狙っており、年末年始の運用体制の薄さがリスクを増幅します。

はじめに

FortinetはFortiOS SSL VPNに存在する古い認証不備CVE-2020-12812が近時に悪用されているとして注意喚起しています。問題は2FAそのものの破壊ではなく、ユーザー名の大文字小文字の不一致やLDAP/AD連携の条件下で、2FAプロンプトが出ない経路に流れてしまう設計上の隙を突かれる点にあります。CVEの公開は2020年で、修正は既に提供済みですが、設定や運用の積み残しがある環境では依然として“侵入の最短距離”になり得ます。CISAは2021年時点で本件を含むFortiOS脆弱性群の積極的悪用を公表しており、国家関与を含む攻撃者の関心が継続している事実は重く受け止めるべきです。

参考:

• NVDのCVE-2020-12812解説（Improper Authentication）: https://nvd.nist.gov/vuln/detail/CVE-2020-12812
• Fortinet PSIRT（FG-IR-20-096, FortiOS SSL VPN 2FA bypass / improper authentication）: https://www.fortiguard.com/psirt/FG-IR-20-096
• CISA警告「APT Actors Exploit Fortinet FortiOS Vulnerabilities」: https://www.cisa.gov/news-events/alerts/2021/04/02/apt-actors-exploit-fortinet-fortios-vulnerabilities
• 報道（最近の悪用警告）: The Hacker News

深掘り詳細

事実整理（何が問題で、どこが突かれるのか）

• 脆弱性の要点は「不適切な認証（Improper Authentication）」で、特定条件下で2FAが要求されない認証フローに落ちることです。NVDも本件をImproper Authenticationとして整理しており、2FA実装の欠陥というより、認証分岐の扱いと入力の不整合（とくにユーザー名の大文字小文字）に起因するロジック不備です。NVD
• FortinetのPSIRTは、SSL VPNと外部ディレクトリ（LDAP/AD等）の統合、および認証フローの分岐に関する条件が絡むと2FAバイパスが発生しうることを明記しています。修正済みであり、サポートブランチでは該当不備は解消されています。FortiGuard PSIRT FG-IR-20-096
• このCVEを含むFortiOSの過去脆弱性は、実際に国家関与を含むアクターに悪用されてきた経緯があり、CISAは2021年に継続的悪用を警告しています。すなわち“古いが現役の攻撃オプション”であることが公的に確認済みです。CISAアラート

インサイト（なぜ今、どこに落とし穴があるのか）

• 技術的には「ゼロデイ」ではなく「設定と運用の長期残存リスク」を突く侵入手口です。2FAが導入済みでも、IdP/LDAP/デバイス側でユーザー名の大文字小文字の扱いが不統一だと、2FAの強制が認証分岐で外れる可能性があります。実務ではディレクトリ移行、グループの再編、ローカルユーザーの残存、例外ルールの追加などでフローが複雑化し、想定外の経路が温存されがちです。
• 攻撃者のコスト構造から見れば、情報窃取型マルウェアや流出DBで得た“だいたい合っている”資格情報に対し、ユーザー名の大小文字やサフィックス違いのバリエーションを機械的に回すだけで、2FA壁が一部崩れる可能性があります。これはブルートフォースよりも低騒音・高成功率の「有効アカウント型の初期侵入」に直結します。
• 年末年始は変更凍結・人員薄・監視閾値の調整不足が重なり、外部リモートサービス（VPN, VDI, SASEエッジ）は“守りの最前線かつ盲点”になりやすいです。既知CVEの再燃は、技術負債と季節性のリスクが重なる典型例といえます。
• 重要なのは「パッチ適用＝解決」ではない現実です。設定の正規化、フォールバック経路の遮断、IdP側MFAのハードエンフォース、ロギング粒度の適正化までを含めた“認証面のSRE”が必要です。VPNはネットワーク機能であっても、実態はアイデンティティ面の制御装置であるため、IAM/SIEM/EDRと同列に体制化するのが合理的です。

脅威シナリオと影響

以下は仮説ベースのシナリオですが、過去の公的アドバイザリおよび一般的な攻撃連鎖に整合する想定です。

• シナリオ1：情報窃取で得た資格情報＋2FAスキップ

  • 前提：情報窃取型マルウェア経由で収集したVPN用資格情報（または漏えいDB）を保有。
  • アクション：ユーザー名の大小文字やUPN/サムアカウント名のバリエーションでログイン試行、2FAが要求されない分岐に誘導。
  • 結果：SSL VPN経由で社内に初期アクセス、以降はAD照会、ファイルサーバ探索、攻撃基盤展開。
  • ATT&CK対応：
    • 初期アクセス: T1133 External Remote Services
    • 有効アカウントの悪用: T1078 Valid Accounts
    • 資格情報取得の前段（想定）: T1555 Credentials from Password Stores / T1589.001 Personal Identifiers（情報収集）

• シナリオ2：年末の運用薄を狙った低騒音の侵入

  • 前提：大量スキャンではなく対象選定後の少数試行で、SIEMの閾値を回避。
  • アクション：同一送信元から数回のユーザー名バリエーション試行、成功後に即時のトンネル内横展開。
  • 結果：EDR展開の薄い部門端末やサーバに着地し、資格情報くすね取り→権限昇格→データ持ち出し。
  • ATT&CK対応：
    • 防御回避: T1036 Masquerading（正規VPNログインの体裁）
    • ディスカバリ/横展開: T1018 Remote System Discovery, T1021 Remote Services

• シナリオ3：サプライチェーン踏み台化

  • 前提：MSP/MSSP環境や外部委託先のVPNを侵害。
  • アクション：管理系ネットワークへの踏み込み、監視基盤やリモート管理ツールを通じた多テナント横展開。
  • 結果：複数組織への連鎖的影響、検知・封じ込めの難度上昇。
  • ATT&CK対応：
    • 初期アクセス: T1195 Supply Chain Compromise（広義の委託ルート）
    • コマンド・制御: T1090 Proxy（踏み台化）

影響評価の観点では、単発インシデントでも「正規ログイン」に見えるため検知・訴求が遅れやすく、対応の初動で“侵入後対策（EDR隔離・横展開阻止）”の比重が上がる傾向があります。認証面での強制力が欠けたままの場合、再侵入リスクも残存します。

セキュリティ担当者のアクション

優先度順で具体的に整理します。設定・運用の差で最適解は異なるため、PSIRTと運用ポリシーに従って調整してください。

• パッチ/バージョン統制

  • Fortinet PSIRT（FG-IR-20-096）でCVE-2020-12812の修正済みバージョンを確認し、サポート内の最新安定版へ計画外でも前倒し適用を行う計画を立ててください。FortiGuard PSIRT
  • 長期的には、SSL VPN基盤をOSライフサイクル管理の対象として“毎四半期の健全性監査（バージョン、署名、暗号設定）”を定例化してください。

• 認証フローの正規化と強制力の向上

  • ユーザー名の大文字小文字扱いをIdP/LDAPとFortiGateで統一し、意図しないフォールバック経路（ローカルユーザーや例外グループ）を無効化してください。大小文字の正規化（Normalize）とグループ評価の順序を見直し、2FAを常に強制する経路のみを残すことが重要です。
  • 可能であれば、パスワード＋OTPの装置内2FAではなく、外部IdP（SAML/OIDC）でMFAをハードエンフォースし、デバイス側はトークン検証に専念させる構成に移行してください。IdP側の条件付きアクセス（地理・デバイス・リスク）を活用し、VPNログインをリスクベースで制御してください。
  • ローカルアカウントの禁止、またはゼロ化を徹底し、緊急用Break-glassアカウントは物理的隔離の認証要素と監査フローを必須にしてください。

• 検知とハンティング（すぐできる運用対策）

  • 監視ルールを追加してください。
    • 短時間に大小文字のみ異なる同一ユーザー名でのログイン試行の相関検知。
    • 2FAチャレンジ関連ログの欠落を伴うログイン成功イベントの検知。
    • 同一送信元IPから複数ユーザー名での連続試行（スプレー）と、その後の単一成功の組み合わせ検知。
  • 攻撃後捜査の初動観点。
    • SSL VPNポータルへの成功ログ直後の内部リソースアクセスの急増、SMB/LDAP/WinRM/SSHなど東西トラフィックのスパイクを時系列で確認してください。
    • 管理者権限の新規付与、VPNユーザーグループの変更、ファイアウォールポリシー改変の監査ログを遡及確認してください。

• 短期リスク低減（高リスク期間の暫定措置）

  • 年末年始など人員薄の期間は、一時的に「社外IPからのVPNログイン制限」「地域制限」「未知ASNブロック」「クライアント証明書の必須化」を組み合わせ、初期侵入の敷居を上げてください。
  • 重要システムへの到達にはVPNに加えてもう一段のMFA（Bastion/Privileged Access）を要求する“二重ゲート”を暫定でも設けてください。

• 中長期の構え（再発防止）

  • VPNの役割を“ネットワーク機能”から“アイデンティティ境界”として再定義し、IAM/IdP、端末健全性、ネットワーク分離、EDR/MDMと一体で運用するアーキテクチャに移行してください（ZTAの実装段階の一部として位置づけるのが有効です）。
  • 設定ドリフトの自動検査（コンフィグLint、CIS Benchmark準拠チェック）と変更管理のゲート化を定例運用に組み込み、例外は有効期限付きで台帳化してください。

総合的に、今回のスコアリングの含意は「新規性は限定的でも、発生確率と即応の必要性が高い運用課題」である点に尽きます。技術的な難攻不落の壁ではなく、運用と設計の継ぎ目を突かれている以上、対応は“パッチ適用＋認証フローの正規化＋検知チューニング”の三点セットで臨むのが合理的です。既知CVEの再燃を止めるのは技術刷新だけでなく、認証・設定・監視を横断した運用整備そのものです。ここを押さえれば、同系の“設定依存の2FA回避”の再発も広く予防できます。