JPCERT-AT-2026-0019
JPCERT/CC
2026-06-23
SOCRadar
FortiBleed 2026: The Compromise of 86,644 Fortinet FortiGate Firewalls and Credential Leak
https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
Fortinet PSIRTは、本件について新規の脆弱性や直近のアドバイザリに関連するものではなく、過去のインシデントで取得された情報の再利用が主因との見解を示しています。ただし、一部のセキュリティ研究者は、漏えいした認証情報にひも付くドメインにおいて、複数の理由から現在も有効な認証情報が含まれている可能性を指摘しています。そのため、過去情報の再流通としてのみ扱うべきではないとのことです。また、FortiGateの設定ファイルには管理者パスワードのハッシュが含まれており、設定ファイルが取得された場合、デバイスへの直接アクセスがなくともオフライン解析によりパスワードが解読されている恐れがあります。
Fortinet
Analysis of Reported Credential Compromise of FortiGate Devices
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
Kevin Beaumont
FortiBleed - 75k Fortinet firewalls have admin passwords cracked
https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8
Kevin Beaumont
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
CloudSEK
Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind
https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind
JPCERT/CCでは、当該情報に国内企業に関連するものが含まれていることを確認しています。漏えいした認証情報が悪用された場合、VPN機器への不正アクセスを起点として、内部ネットワークへの侵入・横展開へと被害が拡大する可能性があります。また、攻撃者は侵害したFortiGate機器を経由して内部ネットワークの認証トラフィックを傍受するツールを保有しており、Windowsドメイン認証(Kerberos・NTLM)の資格情報まで窃取・解読された事例が確認されています。この場合、FortiGate側の対処だけでは防ぎきれない侵害経路が残るため、影響を受ける可能性のある組織は、FortiGateの認証情報変更・多要素認証の有効化に加え、内部のActive Directory環境における不審なアクティビティの確認もあわせて実施してください。詳細は「II. 影響有無の確認方法」以降をご確認ください。
SOCRadar
Dismantling FortiBleed:Inside a Russian Fortinet Compromise Operation
https://socradar.io/resources/whitepapers/dismantling-fortibleed-inside-a-russian-fortinet-compromise-operation/
1. 設定情報のエクスポート痕跡の確認
本件は、侵害したFortiGate機器から設定情報をエクスポートする手口が使われたことが推定されており、FortiGateログから以下の要領による痕跡の確認手段が示されています。
ログでの確認手順(System > Events > Messages を「Config」でフィルターし、configのエクスポート履歴を確認)
※ 管理者アカウント、およびREST APIアカウント両方の操作履歴の確認が推奨されています
DoublePulsar
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
2. 不審な管理者アクセスの調査
次の文章に記載の各IoC情報のIPアドレスからのアクセスを中心に、正規利用でのアクセスが想定されないIPアドレスからの管理者アクセスがないかをご確認ください。
SOCRadar
Dismantling FortiBleed
https://socradar.io/wp-content/uploads/2026/06/Dismantling-FortiBleed.pdf
※文章内の「IoCs」の章に記載のIPアドレスをご参照ください。
Kevin Beaumont
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
※文章内の「Config dumping at scale」の章に記載のIPアドレスをご参照ください。
3. 影響組織の検索サービスによる調査
Hudson RockおよびSOCRadarは、自組織の機器に関する認証情報が「FortiBleed」によって漏えいしているかを検索することができるツールを公開しています。詳細は当該ツールを公開しているWebサイトをご確認ください。
Hudson Rock
FortiBleed
https://www.hudsonrock.com/fortinet
SOCRadar
FortiBleed Check
https://socradar.io/free-tools/fortibleed
ただし、いずれのツールについても、検索対象のドメイン名を照会するデータベースは、FortiGuardライセンス登録時に申請されたメールアドレスのドメイン部分を抽出した一覧を用いていると推定されることから、FortiGuard製品の運用委託先や契約SIerによる代行登録が行われていた場合、エンドユーザー自体のドメイン名に関しては検索結果に表れないケースが想定されます。また、被害組織の一部ではIPsec VPNトンネルへのログインが確認されていることから、上記ツールによる照会で自組織の該当が無い場合においても、対向拠点を信頼ゾーンとして設定し、サイト間IPsec VPNで常時接続する環境にある組織についても、対向側組織の侵害された機器を起点とした侵害が及ぶ可能性があります。
Kevin Beaumont
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
4. 設定の検証およびログの調査
次の観点で機器のログ上に不審な点がないかをご確認ください。
不正な変更がないかチェックする
- 特に「forticloud」「fortiuser」「fortinet-support」「fortinet-tech-support」などの意図しないアカウントの追加がないか調査する
- 可能であれば正常時に取得した設定と現在の設定を比較して意図しない設定変更がないかを調査する
ドメインコントローラーのログに不審なアクセスがないか調査する
- 特にAD/LDAP連携用のADアカウントがFortiGate機器に設定されている場合、当該ADアカウントが組織内のAD環境で不正に利用されていないかを調査する
Fortinet
Analysis of Reported Credential Compromise of FortiGate Devices
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
1. 機器侵害時の推奨手順に基づく対応
次のリンク先のFortinetの推奨手順を参考に、認証情報のローテーションなどを実施してください。
Fortinet
Technical Tip: Recommended steps to execute in case of a compromised host
https://community.fortinet.com/fortigate-3/technical-tip-recommended-steps-to-execute-in-case-of-a-compromised-host-118585
2. 対策の実施
同様の攻撃への対策として、「IV. 対策」に記載の対策を実施してください。
1. 一般的な対策の適用
次のリンク先の情報を参考に、多要素認証の有効化などの対策を実施してください。
Fortinet
Attacks at the Speed of AI
https://www.fortinet.com/blog/industry-trends/attacks-at-the-speed-of-ai
※文章内の「How can I protect my organization?」の項目をご確認ください。
2. FortiOSをPBKDF2対応ファームへ更新
FortiOSをPBKDF2対応ファームへ更新してください。なお、管理者パスワードを再設定しても、既定では旧SHA256ハッシュがold-passwordに残存するため、過去に設定ファイルが取得されていた場合、オフラインクラックによる平文復元のリスクが残ります。そのため、次のリンクを参考に対処することを推奨します。
Fortinet
Technical Tip: Enforcing PBKDF2 as hash function for administrator accounts in FortiOS v7.2.11 and later
https://community.fortinet.com/fortigate-3/technical-tip-enforcing-pbkdf2-as-hash-function-for-administrator-accounts-in-fortios-v7-2-11-and-later-220652
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
サイバーセキュリティコーディネーショングループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2026-06-23
I. 概要
Fortinet製FortiGateなどに関連する認証情報が漏えいしたとされる事案、通称「FortiBleed」に関する情報が複数の組織から公表されています。海外セキュリティベンダーのSOCRadarは、攻撃者が運用するデータベースに194カ国にわたる企業や政府機関に属する86,644台以上の機器のログイン情報が含まれていることを確認しているとのことです。SOCRadar
FortiBleed 2026: The Compromise of 86,644 Fortinet FortiGate Firewalls and Credential Leak
https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
Fortinet PSIRTは、本件について新規の脆弱性や直近のアドバイザリに関連するものではなく、過去のインシデントで取得された情報の再利用が主因との見解を示しています。ただし、一部のセキュリティ研究者は、漏えいした認証情報にひも付くドメインにおいて、複数の理由から現在も有効な認証情報が含まれている可能性を指摘しています。そのため、過去情報の再流通としてのみ扱うべきではないとのことです。また、FortiGateの設定ファイルには管理者パスワードのハッシュが含まれており、設定ファイルが取得された場合、デバイスへの直接アクセスがなくともオフライン解析によりパスワードが解読されている恐れがあります。
Fortinet
Analysis of Reported Credential Compromise of FortiGate Devices
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
Kevin Beaumont
FortiBleed - 75k Fortinet firewalls have admin passwords cracked
https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8
Kevin Beaumont
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
CloudSEK
Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind
https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind
JPCERT/CCでは、当該情報に国内企業に関連するものが含まれていることを確認しています。漏えいした認証情報が悪用された場合、VPN機器への不正アクセスを起点として、内部ネットワークへの侵入・横展開へと被害が拡大する可能性があります。また、攻撃者は侵害したFortiGate機器を経由して内部ネットワークの認証トラフィックを傍受するツールを保有しており、Windowsドメイン認証(Kerberos・NTLM)の資格情報まで窃取・解読された事例が確認されています。この場合、FortiGate側の対処だけでは防ぎきれない侵害経路が残るため、影響を受ける可能性のある組織は、FortiGateの認証情報変更・多要素認証の有効化に加え、内部のActive Directory環境における不審なアクティビティの確認もあわせて実施してください。詳細は「II. 影響有無の確認方法」以降をご確認ください。
SOCRadar
Dismantling FortiBleed:Inside a Russian Fortinet Compromise Operation
https://socradar.io/resources/whitepapers/dismantling-fortibleed-inside-a-russian-fortinet-compromise-operation/
II. 影響有無の確認方法
次の方法で自組織の認証情報が漏えいしている可能性がないかをご確認ください。1. 設定情報のエクスポート痕跡の確認
本件は、侵害したFortiGate機器から設定情報をエクスポートする手口が使われたことが推定されており、FortiGateログから以下の要領による痕跡の確認手段が示されています。
ログでの確認手順(System > Events > Messages を「Config」でフィルターし、configのエクスポート履歴を確認)
※ 管理者アカウント、およびREST APIアカウント両方の操作履歴の確認が推奨されています
DoublePulsar
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
2. 不審な管理者アクセスの調査
次の文章に記載の各IoC情報のIPアドレスからのアクセスを中心に、正規利用でのアクセスが想定されないIPアドレスからの管理者アクセスがないかをご確認ください。
SOCRadar
Dismantling FortiBleed
https://socradar.io/wp-content/uploads/2026/06/Dismantling-FortiBleed.pdf
※文章内の「IoCs」の章に記載のIPアドレスをご参照ください。
Kevin Beaumont
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
※文章内の「Config dumping at scale」の章に記載のIPアドレスをご参照ください。
3. 影響組織の検索サービスによる調査
Hudson RockおよびSOCRadarは、自組織の機器に関する認証情報が「FortiBleed」によって漏えいしているかを検索することができるツールを公開しています。詳細は当該ツールを公開しているWebサイトをご確認ください。
Hudson Rock
FortiBleed
https://www.hudsonrock.com/fortinet
SOCRadar
FortiBleed Check
https://socradar.io/free-tools/fortibleed
ただし、いずれのツールについても、検索対象のドメイン名を照会するデータベースは、FortiGuardライセンス登録時に申請されたメールアドレスのドメイン部分を抽出した一覧を用いていると推定されることから、FortiGuard製品の運用委託先や契約SIerによる代行登録が行われていた場合、エンドユーザー自体のドメイン名に関しては検索結果に表れないケースが想定されます。また、被害組織の一部ではIPsec VPNトンネルへのログインが確認されていることから、上記ツールによる照会で自組織の該当が無い場合においても、対向拠点を信頼ゾーンとして設定し、サイト間IPsec VPNで常時接続する環境にある組織についても、対向側組織の侵害された機器を起点とした侵害が及ぶ可能性があります。
Kevin Beaumont
An update on FortiBleed - what's happening with victim orgs
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
4. 設定の検証およびログの調査
次の観点で機器のログ上に不審な点がないかをご確認ください。
不正な変更がないかチェックする
- 特に「forticloud」「fortiuser」「fortinet-support」「fortinet-tech-support」などの意図しないアカウントの追加がないか調査する
- 可能であれば正常時に取得した設定と現在の設定を比較して意図しない設定変更がないかを調査する
ドメインコントローラーのログに不審なアクセスがないか調査する
- 特にAD/LDAP連携用のADアカウントがFortiGate機器に設定されている場合、当該ADアカウントが組織内のAD環境で不正に利用されていないかを調査する
Fortinet
Analysis of Reported Credential Compromise of FortiGate Devices
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
III. 対処
確認の結果、自組織の認証情報が漏えいしている可能性が高いと考えられる場合、次の対処を実施することを推奨いたします。1. 機器侵害時の推奨手順に基づく対応
次のリンク先のFortinetの推奨手順を参考に、認証情報のローテーションなどを実施してください。
Fortinet
Technical Tip: Recommended steps to execute in case of a compromised host
https://community.fortinet.com/fortigate-3/technical-tip-recommended-steps-to-execute-in-case-of-a-compromised-host-118585
2. 対策の実施
同様の攻撃への対策として、「IV. 対策」に記載の対策を実施してください。
IV. 対策
現時点で影響が確認できない組織についても、同様の被害を避けるために次の対策を行うことを推奨します。1. 一般的な対策の適用
次のリンク先の情報を参考に、多要素認証の有効化などの対策を実施してください。
Fortinet
Attacks at the Speed of AI
https://www.fortinet.com/blog/industry-trends/attacks-at-the-speed-of-ai
※文章内の「How can I protect my organization?」の項目をご確認ください。
2. FortiOSをPBKDF2対応ファームへ更新
FortiOSをPBKDF2対応ファームへ更新してください。なお、管理者パスワードを再設定しても、既定では旧SHA256ハッシュがold-passwordに残存するため、過去に設定ファイルが取得されていた場合、オフラインクラックによる平文復元のリスクが残ります。そのため、次のリンクを参考に対処することを推奨します。
Fortinet
Technical Tip: Enforcing PBKDF2 as hash function for administrator accounts in FortiOS v7.2.11 and later
https://community.fortinet.com/fortigate-3/technical-tip-enforcing-pbkdf2-as-hash-function-for-administrator-accounts-in-fortios-v7-2-11-and-later-220652
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
サイバーセキュリティコーディネーショングループ
Email:ew-info@jpcert.or.jp
