-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2026-0019
                                                             JPCERT/CC
                                                            2026-06-23

                  <<< JPCERT/CC Alert 2026-06-23 >>>

       Fortinet製品に関連する認証情報の漏えいに関する注意喚起

           https://www.jpcert.or.jp/at/2026/at260019.html


I. 概要
Fortinet製FortiGateなどに関連する認証情報が漏えいしたとされる事案、
通称「FortiBleed」に関する情報が複数の組織から公表されています。海
外セキュリティベンダーのSOCRadarは、攻撃者が運用するデータベースに
194カ国にわたる企業や政府機関に属する86,644台以上の機器のログイン情
報が含まれていることを確認しているとのことです。

    SOCRadar
    FortiBleed 2026: The Compromise of 86,644 Fortinet FortiGate Firewalls and Credential Leak
    https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/

Fortinet PSIRTは、本件について新規の脆弱性や直近のアドバイザリに関連
するものではなく、過去のインシデントで取得された情報の再利用が主因と
の見解を示しています。ただし、一部のセキュリティ研究者は、漏えいした
認証情報にひも付くドメインにおいて、複数の理由から現在も有効な認証情
報が含まれている可能性を指摘しています。そのため、過去情報の再流通と
してのみ扱うべきではないとのことです。また、FortiGateの設定ファイルに
は管理者パスワードのハッシュが含まれており、設定ファイルが取得された
場合、デバイスへの直接アクセスがなくともオフライン解析によりパスワー
ドが解読されている恐れがあります。

    Fortinet
    Analysis of Reported Credential Compromise of FortiGate Devices
    https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices

    Kevin Beaumont
    FortiBleed - 75k Fortinet firewalls have admin passwords cracked
    https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8

    Kevin Beaumont
    An update on FortiBleed - what's happening with victim orgs
    https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4

    CloudSEK
    Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind
    https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind

JPCERT/CCでは、当該情報に国内企業に関連するものが含まれていることを
確認しています。漏えいした認証情報が悪用された場合、VPN機器への不正
アクセスを起点として、内部ネットワークへの侵入・横展開へと被害が拡大
する可能性があります。また、攻撃者は侵害したFortiGate機器を経由して
内部ネットワークの認証トラフィックを傍受するツールを保有しており、
Windowsドメイン認証（Kerberos・NTLM）の資格情報まで窃取・解読された
事例が確認されています。この場合、FortiGate側の対処だけでは防ぎきれ
ない侵害経路が残るため、影響を受ける可能性のある組織は、FortiGateの
認証情報変更・多要素認証の有効化に加え、内部のActive Directory環境に
おける不審なアクティビティの確認もあわせて実施してください。詳細は
「II. 影響有無の確認方法」以降をご確認ください。

    SOCRadar
    Dismantling FortiBleed:Inside a Russian Fortinet Compromise Operation
    https://socradar.io/resources/whitepapers/dismantling-fortibleed-inside-a-russian-fortinet-compromise-operation/


II. 影響有無の確認方法
次の方法で自組織の認証情報が漏えいしている可能性がないかをご確認ください。

1. 設定情報のエクスポート痕跡の確認

本件は、侵害したFortiGate機器から設定情報をエクスポートする手口が使
われたことが推定されており、FortiGateログから以下の要領による痕跡の
確認手段が示されています。

ログでの確認手順
（System > Events > Messages を「Config」でフィルターし、configのエクスポート
履歴を確認）
※ 管理者アカウント、およびREST APIアカウント両方の操作履歴の確認が推奨されています

    DoublePulsar
    An update on FortiBleed - what's happening with victim orgs
    https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4

2. 不審な管理者アクセスの調査

次の文章に記載の各IoC情報のIPアドレスからのアクセスを中心に、正規
利用でのアクセスが想定されないIPアドレスからの管理者アクセスがない
かをご確認ください。

    SOCRadar
    Dismantling FortiBleed
    https://socradar.io/wp-content/uploads/2026/06/Dismantling-FortiBleed.pdf
    ※文章内の「IoCs」の章に記載のIPアドレスをご参照ください。

    Kevin Beaumont
    An update on FortiBleed - what's happening with victim orgs
    https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
    ※文章内の「Config dumping at scale」の章に記載のIPアドレスをご参照ください。

3. 影響組織の検索サービスによる調査

Hudson RockおよびSOCRadarは、自組織の機器に関する認証情報が「FortiBleed」
によって漏えいしているかを検索することができるツールを公開しています。
詳細は当該ツールを公開しているWebサイトをご確認ください。

    Hudson Rock
    FortiBleed
    https://www.hudsonrock.com/fortinet

    SOCRadar
    FortiBleed Check
    https://socradar.io/free-tools/fortibleed

ただし、いずれのツールについても、検索対象のドメイン名を照会するデータ
ベースは、FortiGuardライセンス登録時に申請されたメールアドレスのドメイ
ン部分を抽出した一覧を用いていると推定されることから、FortiGuard製品の
運用委託先や契約SIerによる代行登録が行われていた場合、エンドユーザー自
体のドメイン名に関しては検索結果に表れないケースが想定されます。また、
被害組織の一部ではIPsec VPNトンネルへのログインが確認されていることから、
上記ツールによる照会で自組織の該当が無い場合においても、対向拠点を信頼
ゾーンとして設定し、サイト間IPsec VPNで常時接続する環境にある組織につい
ても、対向側組織の侵害された機器を起点とした侵害が及ぶ可能性があります。

    Kevin Beaumont
    An update on FortiBleed - what's happening with victim orgs
    https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4


4. 設定の検証およびログの調査

次の観点で機器のログ上に不審な点がないかをご確認ください。

不正な変更がないかチェックする
  - 特に「forticloud」「fortiuser」「fortinet-support」「fortinet-tech-support」などの意図しないアカウントの追加がないか調査する
  - 可能であれば正常時に取得した設定と現在の設定を比較して意図しない設定変更がないかを調査する

ドメインコントローラーのログに不審なアクセスがないか調査する
  - 特にAD/LDAP連携用のADアカウントがFortiGate機器に設定されている場合、当該ADアカウントが組織内のAD環境で不正に利用されていないかを調査する

    Fortinet
    Analysis of Reported Credential Compromise of FortiGate Devices
    https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices


III. 対処
確認の結果、自組織の認証情報が漏えいしている可能性が高いと考えられる
場合、次の対処を実施することを推奨いたします。

1. 機器侵害時の推奨手順に基づく対応

次のリンク先のFortinetの推奨手順を参考に、認証情報のローテーションな
どを実施してください。

    Fortinet
    Technical Tip: Recommended steps to execute in case of a compromised host
    https://community.fortinet.com/fortigate-3/technical-tip-recommended-steps-to-execute-in-case-of-a-compromised-host-118585

2. 対策の実施

同様の攻撃への対策として、「IV. 対策」に記載の対策を実施してください。


IV. 対策
現時点で影響が確認できない組織についても、同様の被害を避けるために次
の対策を行うことを推奨します。

1. 一般的な対策の適用

次のリンク先の情報を参考に、多要素認証の有効化などの対策を実施してください。

    Fortinet
    Attacks at the Speed of AI
    https://www.fortinet.com/blog/industry-trends/attacks-at-the-speed-of-ai
    ※文章内の「How can I protect my organization?」の項目をご確認ください。

2. FortiOSをPBKDF2対応ファームへ更新

FortiOSをPBKDF2対応ファームへ更新してください。なお、管理者パスワードを
再設定しても、既定では旧SHA256ハッシュがold-passwordに残存するため、過去
に設定ファイルが取得されていた場合、オフラインクラックによる平文復元のリ
スクが残ります。そのため、次のリンクを参考に対処することを推奨します。

    Fortinet
    Technical Tip: Enforcing PBKDF2 as hash function for administrator accounts in FortiOS v7.2.11 and later
    https://community.fortinet.com/fortigate-3/technical-tip-enforcing-pbkdf2-as-hash-function-for-administrator-accounts-in-fortios-v7-2-11-and-later-220652


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
サイバーセキュリティコーディネーショングループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=nECa
-----END PGP SIGNATURE-----