注意喚起: Fortinet製品に関連する認証情報の漏えいに関する注意喚起 (公開)

JPCERT-AT-2026-0019
JPCERT/CC
2026-06-23

I. 概要Fortinet製FortiGateなどに関連する認証情報が漏えいしたとされる事案、通称「FortiBleed」に関する情報が複数の組織から公表されています。海外セキュリティベンダーのSOCRadarは、攻撃者が運用するデータベースに194カ国にわたる企業や政府機関に属する86,644台以上の機器のログイン情報が含まれていることを確認しているとのことです。

SOCRadar
FortiBleed 2026: The Compromise of 86,644 Fortinet FortiGate Firewalls and Credential Leak
https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/

Fortinet PSIRTは、本件について新規の脆弱性や直近のアドバイザリに関連するものではなく、過去のインシデントで取得された情報の再利用が主因との見解を示しています。ただし、一部のセキュリティ研究者は、漏えいした認証情報にひも付くドメインにおいて、複数の理由から現在も有効な認証情報が含まれている可能性を指摘しています。そのため、過去情報の再流通としてのみ扱うべきではないとのことです。また、FortiGateの設定ファイルには管理者パスワードのハッシュが含まれており、設定ファイルが取得された場合、デバイスへの直接アクセスがなくともオフライン解析によりパスワードが解読されている恐れがあります。

Fortinet
Analysis of Reported Credential Compromise of FortiGate Devices
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices

Kevin Beaumont
FortiBleed – 75k Fortinet firewalls have admin passwords cracked
https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8

Kevin Beaumont
An update on FortiBleed – what’s happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4

CloudSEK
Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind
https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind

JPCERT/CCでは、当該情報に国内企業に関連するものが含まれていることを確認しています。漏えいした認証情報が悪用された場合、VPN機器への不正アクセスを起点として、内部ネットワークへの侵入・横展開へと被害が拡大する可能性があります。また、攻撃者は侵害したFortiGate機器を経由して内部ネットワークの認証トラフィックを傍受するツールを保有しており、Windowsドメイン認証（Kerberos・NTLM）の資格情報まで窃取・解読された事例が確認されています。この場合、FortiGate側の対処だけでは防ぎきれない侵害経路が残るため、影響を受ける可能性のある組織は、FortiGateの認証情報変更・多要素認証の有効化に加え、内部のActive Directory環境における不審なアクティビティの確認もあわせて実施してください。詳細は「II. 影響有無の確認方法」以降をご確認ください。

SOCRadar
Dismantling FortiBleed:Inside a Russian Fortinet Compromise Operation
https://socradar.io/resources/whitepapers/dismantling-fortibleed-inside-a-russian-fortinet-compromise-operation/

II. 影響有無の確認方法次の方法で自組織の認証情報が漏えいしている可能性がないかをご確認ください。

1. 設定情報のエクスポート痕跡の確認

本件は、侵害したFortiGate機器から設定情報をエクスポートする手口が使われたことが推定されており、FortiGateログから以下の要領による痕跡の確認手段が示されています。

ログでの確認手順（System > Events > Messages を「Config」でフィルターし、configのエクスポート履歴を確認）
※ 管理者アカウント、およびREST APIアカウント両方の操作履歴の確認が推奨されています

DoublePulsar
An update on FortiBleed – what’s happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4

2. 不審な管理者アクセスの調査

次の文章に記載の各IoC情報のIPアドレスからのアクセスを中心に、正規利用でのアクセスが想定されないIPアドレスからの管理者アクセスがないかをご確認ください。

SOCRadar
Dismantling FortiBleed
https://socradar.io/wp-content/uploads/2026/06/Dismantling-FortiBleed.pdf
※文章内の「IoCs」の章に記載のIPアドレスをご参照ください。

Kevin Beaumont
An update on FortiBleed – what’s happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
※文章内の「Config dumping at scale」の章に記載のIPアドレスをご参照ください。

3. 影響組織の検索サービスによる調査

Hudson RockおよびSOCRadarは、自組織の機器に関する認証情報が「FortiBleed」によって漏えいしているかを検索することができるツールを公開しています。詳細は当該ツールを公開しているWebサイトをご確認ください。

Hudson Rock
FortiBleed
https://www.hudsonrock.com/fortinet

SOCRadar
FortiBleed Check
https://socradar.io/free-tools/fortibleed

ただし、いずれのツールについても、検索対象のドメイン名を照会するデータベースは、FortiGuardライセンス登録時に申請されたメールアドレスのドメイン部分を抽出した一覧を用いていると推定されることから、FortiGuard製品の運用委託先や契約SIerによる代行登録が行われていた場合、エンドユーザー自体のドメイン名に関しては検索結果に表れないケースが想定されます。また、被害組織の一部ではIPsec VPNトンネルへのログインが確認されていることから、上記ツールによる照会で自組織の該当が無い場合においても、対向拠点を信頼ゾーンとして設定し、サイト間IPsec VPNで常時接続する環境にある組織についても、対向側組織の侵害された機器を起点とした侵害が及ぶ可能性があります。

Kevin Beaumont
An update on FortiBleed – what’s happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4

4. 設定の検証およびログの調査

次の観点で機器のログ上に不審な点がないかをご確認ください。

不正な変更がないかチェックする
– 特に「forticloud」「fortiuser」「fortinet-support」「fortinet-tech-support」などの意図しないアカウントの追加がないか調査する
– 可能であれば正常時に取得した設定と現在の設定を比較して意図しない設定変更がないかを調査する

ドメインコントローラーのログに不審なアクセスがないか調査する
– 特にAD/LDAP連携用のAD

出典: www.jpcert.or.jp
URL: https://www.jpcert.or.jp/at/2026/at260019.html