Fortinet（フォーティネット）製機器に関連する重要な認証情報（IDやパスワードなど）が外部へ流出している通称「FortiBleed」問題において、一般企業や公的機関を含む「日本国内の組織」に関する情報が実際に含まれていることが、JPCERTコーディネーションセンター（JPCERT/CC）への報告によって明らかになりました。

JPCERT/CCは、同社の関連製品を運用しているすべての組織に対し、自社のシステムがこの流出問題の影響を受けていないか至急調査を行い、必要に応じて適切なパスワード変更や設定の見直しといった防衛策を講じるよう強く呼びかけています。

この「FortiBleed」問題は、Fortinet製機器の管理インタフェースやVPN機能にアクセスするための認証情報が、サイバー攻撃者によって組織的かつ大量に収集され、攻撃者が足場として使用していたインフラ内から発見されたものです。

攻撃者がこれほど膨大なデータをどのように収集したか、その具体的な手口の全容はまだ明らかになっていません。しかし極めて重要なのは、「現時点で新しい脆弱性は確認されていない」という点です。つまり、攻撃者は未知のバグ（ゼロデイ脆弱性）を使ったわけではなく、企業側が修正せずに放置していた「過去の脆弱性」を悪用して認証情報を引き抜いたか、あるいは簡易なパスワードを設定している機器を狙った「ブルートフォース攻撃（総当たり攻撃）」によってログイン情報を特定した可能性が高いと見られています。

JPCERT/CCは、攻撃者のインフラから回収されたデータの中に国内企業に関連する情報が明確に含まれていた事実を確認しており、これらが悪用された場合のリスクとして以下の深刻なシナリオに警鐘を鳴らしています。

• 内部ネットワークへの不正侵入と水平展開：流出した認証情報を使えば、攻撃者は正面玄関から正規ユーザーのふりをして社内システムへ侵入できます。そこから「ラテラルムーブメント（組織内での水平展開）」を行い、さらに重要なサーバーや重要資産へと汚染を広げていきます。
• 通信トラフィックの傍受と侵害経路の拡大：侵入されたFortinet製機器の内部でネットワークトラフィックが傍受された場合、社内で行われている通信から「さらなる別のシステムの認証情報」が芋づる式に窃取される恐れがあります。こうなると、侵害の範囲が全社規模へ拡大し、Fortinet製機器の対策を講じるだけでは手遅れという最悪の事態に発展しかねません。

今回の問題は、機器のアップデートを行えば解決するような単純なフェーズをすでに超えています。「すでに認証情報が攻撃者の手に渡っているかもしれない」という最悪のシナリオ（想定）に基づいて行動しなければなりません。

影響を受ける可能性のあるすべての組織は、Fortinet製機器自体のパスワード変更やファームウェアのセキュリティ対策を徹底することはもちろん、社内ネットワーク全体のユーザー権限を統括する「内部のActive Directory（アクティブディレクトリ）環境」において、不審なログイン履歴や予期せぬアクティビティが発生していないかなど、全方位的な影響調査を行うことが強く求められています。