1. 概要
JPCERT/CCは2026年6月23日、Fortinet製品に対する認証情報漏えいに関する事案「FortiBleed」について注意喚起を公開しました。FortiBleedは、Fortinet製のファイアウォールおよびSSL-VPN機器を標的とした大規模な認証情報侵害キャンペーンとして報告されています。
海外セキュリティベンダーであるSOCRadarの調査によると、攻撃者が運用するデータベースには、194か国、86,644台以上のFortinet製品に関する有効な認証情報が保存されていたことが確認されています。対象には企業や政府機関の機器も含まれており、現在も調査が継続されています。
Fortinet PSIRTは本件について、新たな脆弱性によるものではなく、過去の侵害や認証情報漏えいによって取得された認証情報の再利用が主な原因であるとの見解を示しています。
2. 攻撃の実態
(1)FortiBleedとは
「FortiBleed」はSOCRadarが考案した用語であり、Fortinet製品の新たな脆弱性を悪用するものではなく、過去に漏えいした情報やデフォルト認証情報を悪用して、インターネット上に公開されたFortiGate製品への不正ログインを試みる大規模な認証情報侵害キャンペーンです。
本事案の特徴として、単に不正ログインを試みるだけでなく、認証情報の有効性を検証した上で利用可能な認証情報のみを蓄積していた点が挙げられます。これにより、後続の攻撃やネットワーク侵入に悪用されるリスクが極めて高い認証情報リストが形成されたと考えられています。
FortiBleedは単発的な侵入活動ではなく、自動化された認証情報の収集・検証を継続的に繰り返すことで規模を拡大していたキャンペーンであると報告されています。そのため、過去に漏えいした認証情報が現在も有効な状態で利用されている場合、組織は継続的な不正アクセスのリスクにさらされるおそれがあります。
図1 FortiBleedのイメージ図
(2)想定される影響
漏えいした認証情報が現在も有効である場合、攻撃者は以下のような行為を実施できる可能性があります。
・FortiGate管理画面への不正アクセス
・SSL-VPN経由での社内ネットワーク侵入
・Active Directory認証情報の窃取
・追加マルウェアの設置
・ラテラルムーブメント(内部展開)
・永続化設定の追加
特にSSL-VPNの認証情報が漏えいしている場合、攻撃者は正規利用者になりすましてVPN接続を確立し、内部ネットワークへアクセスする可能性があります。
3. 対策
JPCERT/CCおよびSOCRadarは、以下の対応を推奨しています。
・FortiGate管理者パスワードの変更
・SSL-VPN利用者パスワードの変更
・多要素認証(MFA)の有効化
・不要な管理インターフェースの外部公開停止
・FortiOSの最新化
・管理者アカウントの棚卸し
・VPN接続ログおよび管理ログの確認
パスワード変更のみならず、侵害を前提とした詳細な調査の実施が推奨されています。
4. まとめ
本記事では、FortiBleedについて、その詳細と対策を紹介しました。
FortiBleedは、Fortinet製品の新たな脆弱性ではなく、過去に漏えいした情報やデフォルト認証情報で不正ログインを試みる大規模な認証情報侵害キャンペーンです。Fortinet製品をご利用の場合は、速やかに認証情報の見直しおよびアクセスログの確認を実施し、必要に応じてインシデント対応などを検討することを推奨します。
5. 参考情報
・JPCERT
Fortinet製品に関連する認証情報の漏えいに関する注意喚起
https://www.jpcert.or.jp/at/2026/at260019.html
・SOCRadar
FortiBleed 2026: The Compromise of 86,644 Fortinet FortiGate Firewalls and Credential Leak
https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
Dismantling FortiBleed:Inside a Russian Fortinet Compromise Operation
https://socradar.io/resources/whitepapers/dismantling-fortibleed-inside-a-russian-fortinet-compromise-operation/
・Fortinet
Analysis of Reported Credential Compromise of FortiGate Devices
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
Fortinet Attacks at the Speed of AI
https://www.fortinet.com/blog/industry-trends/attacks-at-the-speed-of-ai
・Kevin Beaumont
FortiBleed - 75k Fortinet firewalls have admin passwords cracked
https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
・CloudSEK
Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind
https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind
6. SSKの総合セキュリティサービスについて
SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
これらの総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。
【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
sales@ssk-kan.co.jp