2026年6月17日、ある認証情報のデータセットが公開された。それは誰をも驚かせるべきでは なかったが、誰もを戦慄させた。研究者のVolodymyr「Bob」Diachenkoは、数万台のFortinet FortiGateファイアウォールについて、ユーザー名、メールアドレス、平文のパスワードを保持 する、インターネットに露出したサーバーを発見した。Kevin Beaumontはそのデータセットを 入手し、Hudson Rockとともに精査し、誰もが確認されることを望まなかった部分を確証した。 すなわち、それらの認証情報は有効であった。このキャンペーンはFortiBleedと名付けられた。
数字こそがこの物語である。194カ国にまたがる73,932件の固有のFortiGateのURLは、21,632の ドメインに紐づいており、Shodanのポーリングによれば、これは現在インターネットに面して いるFortinetファイアウォールのおよそ半分にあたる。露呈した組織は素人ではない。Foxconn、 Samsung、Comcast、Siemens、Lenovo、FedEx、Accenture、Oracle、PwC、さらに政府機関や 重要インフラの事業者が含まれる。少なくとも四つの組織が完全に侵害された。日本、台湾、 ベトナム、イラク、トルコにおいてであり、攻撃者はネットワーク内部でマシンからマシンへと 横移動した。最悪の事例は、機密文書が窃取されたトルコのNATO防衛下請業者である。この活動 は、複数のオペレーターからなるロシア語話者の犯罪グループに帰属するとされている。
皮肉は自ずから物語る。ファイアウォール、すなわち侵入者を境界で食い止めることだけがその 全目的である唯一の装置が、その境界の開かれた扉になったのである。
技術的に実際に何が起きたのか
ここに新たな脆弱性は存在せず、そのことが重要である。この収集は、Fortinetが2022年10月に パッチを当て、ほとんどの組織が修正を適用する前に大量に悪用された、FortiOSの認証バイパス であるCVE-2022-40684にまで遡る。その2022年の波のあいだに掻き集められた認証情報は、以来 私的な犯罪フォーラムで流通し続けてきた。FortiBleedは、その在庫が更新されたものである。 オペレーターはSSL-VPNの認証を傍受し、パスワードのハッシュを回収し、Hashtopolisで統括 された45基のGPUクラスタ上でそれらを解読した。彼らはその後、回収したパスワードを稼働中の 機器に対して再生し、320,000台のFortiGate機器に対して11億6,000万回のログイン試行を、 並行して160,000台のMicrosoft SQLサーバーに対してさらに21億回を記録し、有効なものを Active Directory、すなわち組織内のすべてのWindowsアカウントを統べるディレクトリへと 通り抜けさせた。
Fortinetの対応は技術的には正確だが、戦略的には的を外している。同社はFortiBleedを、過去 のインシデントから再利用されたデータに総当たりを加えたものであり、自社製品の新たな欠陥 ではないと特徴づけている。それは正しい。だが、機器はいまなおオンラインにあり、再利用 されたパスワードは、誰もそれを変更しないかぎり、まさにそのあいだずっと本物の扉を開く。 大規模な資産において、すべてのVPNおよび管理者の認証情報をローテーションすることは指を 鳴らすようにはいかず、それこそが攻撃者がそれはまだ有効だろうと賭けた理由のすべてである。 彼らは正しかった。
どの規制枠組みがこれを統べ、何を要求するのか
これは隅に追いやられた技術的な脚注ではない。これは、影響を受けた組織がすでに答えを負って いる三つの体制のまさに内側に位置している。
EUのデジタル・オペレーショナル・レジリエンス法(DORA)は金融事業体を拘束する。そのICT リスク管理の柱(第5条から第15条)は、リモートの入口における強力な認証とアクセス制御(第 9条)、ならびに試験され証拠化されたインシデント対応能力(第11条)を要求する。DORAは 「我々は2022年のCVEにパッチを当てた」をレジリエンスとして受け入れない。残存する露呈が 特定され、定量化され、統治されていたかを問うのである。ネットワークおよび情報セキュリティ 指令2(NIS2)は、エネルギー、運輸、製造、デジタルインフラ、行政を含む、はるかに広い母集団 を対象としており、その第21条は多要素認証、アクセス制御、資産管理を基礎的な措置として明示 的に名指しし、第20条の下で経営機関が個人として責任を負う。ISO/IEC 27001:2022は、同じ統制 を附属書Aの義務として位置づける。すなわちA.5.17(認証情報)、A.8.5(セキュアな認証)、 A.5.15(アクセス制御)、A.8.9(構成管理)である。NATOの防衛下請業者については、第四の層が 適用される。機密資料の窃取が、単なる商業的侵害ではなく、報告義務のある主権レベルの事象と なる、防衛サプライチェーンセキュリティの義務である。
どの統制が機能しなかったのか
見出しを飾る規模を剥ぎ取れば、FortiBleedはオフの位置に放置されたスイッチの短い一覧で ある。リモートアクセスの多要素認証は不在または不完全であり、それは盗まれたパスワードを 不活性にする唯一の統制、その有無が非事象と侵害とを分かつ統制である。認証情報のローテー ションは2022年の侵害の後に一度も作動しなかったため、四年前に漏洩したパスワードが2026年 6月になおも認証に通った。パッチと構成の衛生は、収集が成功するに足るほど長く、当初の CVE-2022-40684の窓に遅れをとった。VPNのエッジとActive Directoryの中核とのあいだの ネットワークセグメンテーションは薄いか不在であり、単一の侵害された機器を、ドメイン全体 にわたる横移動へと変えた。そしてそのすべての根底において、資産の可視性が機能しなかった。 組織は、自社のどのFortiGate機器がインターネットに面しているのか、どのファームウェアで、 どのアカウントとどの認証態勢で動いているのかについて、権威ある最新の見取り図を持って いなかった。見ることのできない露呈に対して、ローテーションも、セグメンテーションも、 MFAの強制も行うことはできない。
CCIのツールであれば何が変わっていたか
上記の四つの統制のいずれも、新たな製品カテゴリを必要としなかった。それらが必要としたのは、 露呈が継続的に見られ、値付けされ、証明されることであり、それこそがCCIの計器が塞ぐ隙間で ある。
EviGenは、攻撃者が問うより前に、唯一重要な問いに答えていたであろう。すべてのSSL-VPNと 管理者のアカウントについて、すべての機器について、今この瞬間、MFAは強制されているのか。 EviGenはその構成証拠を資産全体にわたって自動的に収集し、それを枠組みを意識して、DORA第9条、 NIS2第21条、ISO A.8.5の成果物として、パニックの中で再構成するのではなく継続的に生成された ものとしてパッケージ化する。MFAの適用範囲における隙間は、窃取の後の鑑識的な発見ではなく、 それが開いたその週に、日付の入った署名済みの所見となる。
NetDiagramerは、攻撃者が実際に歩んだ経路を描いていたであろう。それは生きたインベントリ からファイアウォールのゾーンと層をまたぐ依存関係を地図化し、インターネットに面したすべて のFortiGateを、そして決定的に、SSL-VPNのエッジからActive Directoryの中核へと至る経路を 浮かび上がらせる。四つの組織を完全に侵害可能にした、エッジからドメインへの平坦な隣接こそ、 DORA第8条およびNIS2第21条の下で自動的に生成されるトポロジが、事後検証の図ではなく所見と して露わにするものである。
cVaRは、「古い認証情報、おそらく問題ない」を、取締役会級の数字へと変えていたであろう。 資産インベントリ全体にFAIRとMonte-Carloシミュレーションを適用し、それは「インターネット に面したVPNの認証情報が再生され、ADへと横移動する」というシナリオを、ユーロ建ての損失 超過曲線として値付けする。リスク登録簿の中では漠然とした懸念として読まれる残存露呈が、 cVaRのダッシュボード上では条件付きバリュー・アット・リスクとして読まれる。そして、残存 する懸念は先送りされる一方で、残存するユーロはローテーションされるのである。
DORA-MASTは、それを不意打ちではなく、試験されたシナリオにしていたであろう。それはその 障害、すなわちリモートアクセスの境界における認証情報の再利用を、モデルに対して走らせ、 レジリエンスへの影響を算出し、DORA第24条から第31条の試験プログラムの下で試験を証拠化 する。境界の全体を単一の機器ベンダーに賭けることが孕む、サードパーティへの集中リスクを 含めて。
露呈を予測し、値付けし、統制を証明し、障害を予行する。2022年の傷は知り得るものであった。 漏洩した認証情報は知り得るものであった。MFAの隙間は知り得るものであった。FortiBleedは Fortinetのコードにある脆弱性を悪用したのではない。それが悪用したのは、組織が保有していた 統制と、組織がオンになっていると証明し得た統制とのあいだの距離である。その距離を縮めれば、 再利用されたパスワードは何ひとつ開かない。
あなたのドメインがすでにリストに載っている場合: 迅速に支援を得る
上記のツールは、組織がインシデントの前に築く態勢を描いている。露呈した21,632のドメインの 多くにとって、FortiBleedは将来のリスクではなく現在のリスクであり、率直な問いは、今週何を すべきか、である。二つの異なるCCIの能力が適用され、それぞれが何を担うのかについて正確で あることには意味がある。
第一は、圧力下のリーダーシップである。CCIの サービスとしてのCISOは、銀行、防衛、通信、 エネルギーにわたる、意図的に重ならない経歴を持つ、八名以上のCISSP認定実務家のプールに 依拠する。自社の認証情報がFortiBleedのデータセットの中にあると発見したばかりの組織に とって、関連する形態は暫定的またはオンコールでのカバーである。すなわち、内部チームが ローテーションを実行するあいだ、露呈をトリアージし、取締役会に説明し、規制当局の第11条 (DORA)や第23条(NIS2)の問いに答えられる、説明責任を負うセキュリティリーダーである。 我々は自らが率いる場所では監査を行わず、その独立性は設計によって保たれている。
第二は、エンジニアリングの速度である。EviGen、NetDiagramer、cVaR、DORA-MASTを構築した 人々は、別のベンダーではない。彼らは、学者、博士級の研究者、セキュリティエンジニアから なる、社内の研究開発チームである。それが運用上意味を持つのは、FortiBleedの是正が、規模に おいては、ツーリングの問題であるからだ。すなわち、組織のFortiGate全体を、公開された露呈 ドメインの一覧と突き合わせ、数百台の機器にわたって認証情報のローテーションを強制し、 そののち残るすべてのアカウントについて多要素認証が強制されていることを証明することである。 これはまさに、同じエンジニアたちが迅速に立ち上げられる種類の、あつらえの是正の計器である。 なぜなら、インベントリの取り込み、構成証拠の収集、トポロジの地図化を含む基礎的な部品が、 スライドウェアではなく出荷済みの製品としてすでに存在するからである。率直な枠付けは、契約 上のストップウォッチではなく、能力である。これらの部品を製品化したチームは、問題に初めて 向き合うチームよりもはるかに速く、それらを的を絞った是正ツールへと組み上げられる。 FortiBleedがあなたの資産に達したのであれば、絞り込まれた対応への最も速い道は 実務家に相談することである。
決して塞がれなかった傷
スズメバチは変わらないが、巣は変わる。Fortinetの顧客が2022年に失った認証情報は、自ずから 失効することは決してなかった。なぜならパスワードは自然治癒しないからである。いまなお露呈 している半分の資産にとって変わったものは、何もない。同じ機器、同じパスワード、ドメインへ と至る同じ平坦な経路。修正は華やかさを欠き、そして完全に手の届くところにある。MFAを強制 し、今すぐローテーションし、エッジを中核から切り分け、その三つすべてが真であるという継続 的な証拠を保ち続けることだ。攻撃者は、あなたがこれを読み、うなずき、それを次の四半期へと 先送りすることに賭けている。彼らはその点について正しかったという、四年にわたる実績を持って いる。
頭字語
| 略語 | 正式名称(英語) | 日本語訳 |
|---|---|---|
| AD | Active Directory | アクティブディレクトリ |
| CVE | Common Vulnerabilities and Exposures | 共通脆弱性識別子 |
| CVSS | Common Vulnerability Scoring System | 共通脆弱性評価システム |
| DORA | Digital Operational Resilience Act | デジタルオペレーショナルレジリエンス法 |
| FAIR | Factor Analysis of Information Risk | 情報リスクの要因分析 |
| GPU | Graphics Processing Unit | グラフィックス処理装置 |
| ICT | Information and Communication Technology | 情報通信技術 |
| MFA | Multi-Factor Authentication | 多要素認証 |
| NIS2 | Network and Information Security Directive 2 | ネットワークおよび情報セキュリティ指令2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | SSL仮想プライベートネットワーク |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj