解説
近年、インターネットに接続されている各種企業のネットワークセキュリティ機器が標的とされるサイバー攻撃が増加傾向にあります。
特に、「FortiBleed」として知られる活動では、フォルティネット(Fortinet)社製のファイアウォールやVPNゲートウェイなど、多数の機器から漏洩した認証情報(クレデンシャル)が悪用されている状況が報告されています。
この問題を受けてサイバーセキュリティ機関(CISA)は、影響を受ける可能性のあるすべての利用者に対し、極めて緊急性の高い対策を講じるよう求めています。具体的には、全てのVPNや管理者セッションの強制終了とパスワードのリセットなどが求められています。
さらに、単なるパスワード変更に留まらず、認証情報保護のためのハッシュ化アルゴリズムの強化や、フィッシング耐性のある多要素認証(MFA)の実装といった、より踏み込んだセキュリティ対策が必須となります。これらの対応を怠ると、攻撃者がネットワーク内部へ侵入し、横展開型のさらなる被害につながる危険性が非常に高い状態です。
ポイント
- 複数の機器から漏洩した認証情報が悪用される「FortiBleed」と呼ばれるサイバー攻撃が確認されている。
- CISAは影響を受けるユーザーに対し、全セッションの強制終了とパスワードのリセットを緊急に求めている。
- 推奨される対応には、フィッシング耐性MFAの義務化、ハッシュアルゴリズムの強化、管理アクセス制限など多岐にわたる対策が含まれる。
情シスへの影響
複数の機器から漏洩した認証情報が使用され、外部からの不正アクセスが発生している可能性があるため、全ての関連システムを直ちに確認する必要があります。
-
認証情報のリセットとセッションの強制終了: すべてのVPNゲートウェイやファイアウォールに関わる管理者アカウントのパスワードを強力にリセットし、アクティブなセッションを即座に切断することが最優先です。
-
多要素認証(MFA)の導入/強化: 現行のセキュリティポリシーを見直し、特にリモートアクセスや管理インターフェースへの接続において、「フィッシング耐性」を持つMFAが義務化されているかを確認し、未実装の場合は早急に適用を検討してください。
-
パスワードハッシュ処理の見直し: 管理者アカウントで使用される認証情報の保存方法(ハッシュ)について、レガシーな脆弱な形式ではなく、「PBKDF2」のようなより安全なアルゴリズムが使用されているかを確認し、必要に応じて変更が必要です。
-
管理面の露出削減とログの監査: ファイアウォールの管理インターフェースがパブリックインターネットから直接アクセスできないよう制限をかけ(ジオブロッキングやVPN経由など)、また過去および現在発生している全ての認証ログ、ネットワーク通信ログにおいて、不審なログイン試行や異常な内部的な移動(ラテラルムーブメント)がないか徹底的に監査を行う必要があります。
重要度
★★★★★
対象者
- セキュリティ担当者
- ネットワーク管理者
優先度
今すぐ対応
推奨対応
- 全てのFortinetデバイスおよび関連するアクセスシステムについて、管理用アカウントのパスワードを強力なもので即時リセットすること。
- すべてのVPNゲートウェイやリモートアクセスポイントにおいて、既存のセッション強制切断を実施し、未利用のアカウントは無効化または削除すること。
- セキュリティポリシーを確認し、可能な限りフィッシング耐性を持つ多要素認証(MFA)を適用・義務化する計画を策定し、早急に実行を開始すること。
- 管理アクセスポイントの露出度を見直し、可能な限り信頼できる内部ネットワークからの接続のみに制限(IPアドレスによる制限など)を行うこと。具体的な対応は必ずベンダー提供の公式情報を確認したうえで実施してください。
出典・公式情報:
CISA Urges Hardening Fortinet Devices After Reports of Credential Exposure
本記事は、上記の公開情報をもとに、情報システム担当者向けに要点・影響・確認ポイントを整理したものです。脆弱性対応・製品仕様・更新情報は変更される可能性があります。実際の対応前に必ず元記事・公式情報をご確認ください。