https://www.jpcert.or.jp/at/2026/at260019.html
引用元: JPCERTコーディネーションセンター 注意喚起 

詳細、最新情報については、上記引用元を参照ください。
以下に概要を抜粋しております。

概要

       Fortinet製品に関連する認証情報の漏えいに関する注意喚起

           https://www.jpcert.or.jp/at/2026/at260019.html


I. 概要
Fortinet製FortiGateなどに関連する認証情報が漏えいしたとされる事案、
通称「FortiBleed」に関する情報が複数の組織から公表されています。海
外セキュリティベンダーのSOCRadarは、攻撃者が運用するデータベースに
194カ国にわたる企業や政府機関に属する86,644台以上の機器のログイン情
報が含まれていることを確認しているとのことです。

    SOCRadar
    FortiBleed 2026: The Compromise of 86,644 Fortinet FortiGate Firewalls and Credential Leak
    https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/

Fortinet PSIRTは、本件について新規の脆弱性や直近のアドバイザリに関連
するものではなく、過去のインシデントで取得された情報の再利用が主因と
の見解を示しています。ただし、一部のセキュリティ研究者は、漏えいした
認証情報にひも付くドメインにおいて、複数の理由から現在も有効な認証情
報が含まれている可能性を指摘しています。そのため、過去情報の再流通と
してのみ扱うべきではないとのことです。また、FortiGateの設定ファイルに
は管理者パスワードのハッシュが含まれており、設定ファイルが取得された
場合、デバイスへの直接アクセスがなくともオフライン解析によりパスワー
ドが解読されている恐れがあります。

    Fortinet
    Analysis of Reported Credential Compromise of FortiGate Devices
    https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices

    Kevin Beaumont
    FortiBleed - 75k Fortinet firewalls have admin passwords cracked
    https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8

    Kevin Beaumont
    An update on FortiBleed - what's happening with victim orgs
    https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4

    CloudSEK
    Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind
    https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind

JPCERT/CCでは、当該情報に国内企業に関連するものが含まれていることを
確認しています。漏えいした認証情報が悪用された場合、VPN機器への不正
アクセスを起点として、内部ネットワークへの侵入・横展開へと被害が拡大
する可能性があります。また、攻撃者は侵害したFortiGate機器を経由して
内部ネットワークの認証トラフィックを傍受するツールを保有しており、
Windowsドメイン認証(Kerberos・NTLM)の資格情報まで窃取・解読された
事例が確認されています。この場合、FortiGate側の対処だけでは防ぎきれ
ない侵害経路が残るため、影響を受ける可能性のある組織は、FortiGateの
認証情報変更・多要素認証の有効化に加え、内部のActive Directory環境に
おける不審なアクティビティの確認もあわせて実施してください。詳細は
「II. 影響有無の確認方法」以降をご確認ください。

    SOCRadar
    Dismantling FortiBleed:Inside a Russian Fortinet Compromise Operation
    https://socradar.io/resources/whitepapers/dismantling-fortibleed-inside-a-russian-fortinet-compromise-operation/
 

ご参考

  ー