title: "FortiBleed|FortiGate認証情報流出 パッチ済みでも危険な理由と棚卸し" description: "FortiBleedで194カ国・86,644台以上のFortiGateの認証情報が流出。JPCERT/CCの注意喚起とFortinet PSIRTの見解を踏まえ、新規脆弱性ではなく既存認証情報の再利用がなぜパッチ済みでも危険なのか、今すぐの棚卸し手順を整理する。" keyword: "FortiGate 認証情報 流出 FortiBleed VPN セキュリティ 棚卸し" slug: "fortibleed-fortigate-credential-leak-86k-20260625" date: "2026-06-25" updatedAt: "2026-06-25" category: "セキュリティ" tags: ["FortiGate","認証情報流出","VPN","脆弱性","インシデント対応"] author: "GXO株式会社" lead_summary: "FortiBleedは新規脆弱性ではなく既存認証情報の再利用。パッチ済みでも認証情報の棚卸しと変更が必要になる。"
FortiBleed|FortiGate約86,644台の認証情報流出 パッチ済みでも危険な理由と棚卸し
結論:FortiBleedは「パッチを当てれば終わり」ではない。認証情報の棚卸しと変更が今すぐ必要
2026年6月23日、JPCERT/CCは「Fortinet製品に関連する認証情報の漏えいに関する注意喚起」(JPCERT-AT-2026-0019)を公開した。報道で「FortiBleed」と呼ばれるこの事案では、194カ国にわたる企業や政府機関に属する86,644台以上の機器のログイン情報が、攻撃者が保有するデータベースに含まれていることが指摘されている。JPCERT/CCは、この情報に国内企業に関連するものが含まれていることを確認したとしている。
重要なのは、これが新しいソフトウェア脆弱性(ゼロデイ)ではないという点だ。Fortinet PSIRTの見解として、本事案は過去のインシデントで取得された認証情報の再利用が主因とされている。つまり、最新ファームウェアにパッチを当てていても、過去に流出した認証情報が変更されないまま残っていれば、その認証情報でログインされうる。加えて、旧いハッシュ方式で保存された認証情報はオフラインで解読され得るとも指摘されており、ファームを更新しても古いハッシュが再生成されずに残っていれば危険は消えない。
該当する可能性がある組織が今すぐやるべき3手は次のとおりだ。
- インターネットに公開しているFortiGate(SSL-VPN、管理画面、ローカル管理者)の認証情報を変更し、多要素認証を有効化する
- 設定ファイルがエクスポートされた痕跡と、不審なアカウント・ログイン履歴を点検する
- 管理者パスワード再設定後、古いハッシュが残らないようにし、影響範囲を境界機器全体で棚卸しする
押さえるべき1点:FortiBleedは「脆弱性を塞ぐ」事案ではなく「漏れた鍵を作り直す」事案である。
該当しうる組織は、まずセキュリティの脆弱性診断・公開資産の棚卸しでFortiGate単体ではなくインターネット公開資産全体を洗い出すと、対応の漏れを防げる。本事案は連載セキュリティ失敗図鑑でも繰り返し扱う「境界機器の認証情報を作り直さないまま放置する」典型例にあたる。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
なぜパッチ済みでも危険なのか
通常の脆弱性対応は、修正版ファームウェアを適用すれば攻撃経路が閉じる。だがFortiBleedの構図はそれとは異なる。報道によると、複数のセキュリティ研究者は漏えいした認証情報が現在も有効である可能性を指摘している。Fortinet PSIRTは新規脆弱性ではないとしているが、認証情報そのものが鍵である以上、ファームウェアを更新しても鍵を変えなければ扉は開いたままになる。
危険が続く理由を整理すると次のようになる。
| 危険が残る理由 | 何が問題か | パッチで解決するか |
|---|---|---|
| 認証情報の再利用 | 過去に漏れたID/パスワードが未変更のまま残る | しない(変更が必要) |
| 設定ファイルの流出 | エクスポートされた設定にVPNユーザーや内部構成が含まれる | しない(再構成・変更が必要) |
| 管理者ハッシュの残存 | 旧いハッシュ方式のままだとオフラインで解読されうる | 一部(更新+ハッシュ再生成が必要) |
| MFA未設定 | パスワードだけで境界を越えられる | しない(MFA有効化が必要) |
| 横展開 | VPN突破後にActive Directoryなど内部へ侵入される | しない(内部の点検が必要) |
JPCERT/CCの注意喚起でも、認証情報の変更と多要素認証の有効化、Active Directory環境の不審なアクティビティ確認、設定ファイルのエクスポート痕跡確認、FortiOSの更新、管理者パスワード再設定後の旧ハッシュ削除が推奨事項として挙げられている。いずれも「パッチを当てる」だけでは完結しない。
影響確認の観点と対応優先度
自社のFortiGateがどの程度のリスクにさらされているかは、公開状況と運用状態で大きく変わる。次の観点で優先度を切り分けると判断しやすい。
| 確認の観点 | 高リスクとなる状態 | 対応優先度 |
|---|---|---|
| SSL-VPN/管理画面のインターネット公開 | 公開している | 最優先(即時) |
| 多要素認証(MFA) | 未設定 | 最優先(即時) |
| 管理者・VPNアカウントのパスワード | 流出時期以降に未変更 | 最優先(即時) |
| 設定ファイルのエクスポート痕跡 | 未確認 | 高(早期) |
| 不審なアカウント・ログイン履歴 | 未確認 | 高(早期) |
| 内部(AD等)への横展開痕跡 | 未確認 | 高(早期) |
| FortiOSのバージョン | 旧バージョンのまま | 中(計画的) |
最優先は「インターネットに公開している境界機器」と「MFAが無い・パスワードが古い」状態の組み合わせだ。ここが一致する組織は、ファームウェアの状態にかかわらず即時対応の対象になる。
棚卸しチェックリスト
該当する可能性がある組織は、次の項目を順に確認・実施する。一次情報(JPCERT/CC・Fortinet公式)を必ず参照しながら進めること。
認証情報のローテーション
- インターネットに公開しているFortiGateを洗い出す(SSL-VPN、WebGUI、SSH/管理ポート)
- 管理者アカウントのパスワードを変更する
- SSL-VPNユーザー、ローカルユーザーの認証情報を変更する
- 多要素認証(MFA)を有効化する
- 管理者パスワード再設定後、古いハッシュが残らないようにする
- 不要・未使用のローカルアカウントを無効化・削除する
設定ファイル流出の確認
- 設定ファイル(コンフィグ)がエクスポートされた痕跡をログで確認する
- 流出が疑われる場合、設定に含まれる事前共有鍵・証明書・APIトークン等を再発行する
不審アカウント・横展開の点検
- 想定外の管理者アカウント・VPNユーザーが追加されていないか確認する
- 不審なログイン元IP・時間帯のアクセス履歴を確認する
- Active Directory等の内部環境で不審なアクティビティがないか確認する
機器側の恒久対応
- FortiOSを公式の推奨バージョンへ更新する
- 管理画面のインターネット直接公開を見直す(VPN/専用経路経由に限定)
- 同様の境界機器(他社製VPN・FW含む)も同じ観点で棚卸しする
よくある質問
Q. 自社のFortiGateが流出データベースに含まれているか、どうすれば分かりますか。 A. 一般公開された確実な照合手段は限定的です。流出有無の判定を待つのではなく、該当しうる前提で認証情報を変更し、設定エクスポートや不審ログインの痕跡をログで点検するのが安全です。JPCERT/CCは国内企業に関連する情報が含まれていることを確認したとしています。
Q. 最新ファームにアップデートしていれば問題ないのではないですか。 A. FortiBleedは新規脆弱性ではなく、過去に取得された認証情報の再利用が主因とされています。ファームウェア更新は重要ですが、それだけでは漏れた認証情報の有効性は消えません。認証情報の変更とMFA有効化が必須です。
Q. パスワードを変えれば設定ファイルの流出は気にしなくてよいですか。 A. いいえ。設定ファイルには事前共有鍵・証明書・連携先の情報などが含まれる場合があります。エクスポート痕跡がある場合は、設定内の鍵・トークン類の再発行まで踏み込む必要があります。
この記事を読むべき人
- FortiGateを社内ネットワークの境界(VPN・ファイアウォール)に利用している情シス・インフラ担当
- 自社がFortiBleedの影響を受けているか判断できず、何から確認すべきか迷っている担当者
- 経営層・セキュリティ責任者から「影響と対応状況の説明」を求められている担当者
- 境界機器の運用が属人化しており、棚卸しや継続監視の体制が無い組織
境界機器の安全な棚卸しの考え方は、セキュリティ診断で境界機器を棚卸しするという観点で進めると、FortiGate単体ではなく公開資産全体を漏れなく確認できる。すでに侵入が疑われる場合はインシデント対応の初動が優先される。
GXOに相談すべきタイミング
- インターネットに公開しているFortiGateがあるが、認証情報の変更・MFA・公開設定を自社だけで点検しきれない
- 設定ファイルのエクスポート痕跡や不審ログインの有無を、ログから判断する体制が無い
- すでに不審なアクセスやアカウント追加が見つかり、内部への横展開が疑われる
- FortiGateに限らず、VPN・ファイアウォールなど境界機器全体を一度棚卸ししたい
- 一度の対応で終わらせず、継続的に境界機器を監視する体制を整えたい
GXOでは、脆弱性診断・セキュリティ診断による境界機器・公開資産の棚卸し、侵害が疑われる場合のインシデント対応、そして再発防止のための継続監視・セキュリティリテイナーを組み合わせ、FortiBleedのような認証情報流出への対応を支援する。自社のセキュリティ体制全体の見直しはセキュリティ対策から相談できる。
→ FortiGateの棚卸しや影響確認に不安がある場合は、セキュリティの相談はこちら。
棚卸しや認証情報ローテーションの実務チェックリストは、実務チェックリストなどの資料をダウンロードでも配布している。
関連記事
- Check Point VPN認証バイパス(CVE-2026-50751)をQilinランサムが悪用
- UniFi OSにCVSS10.0×3でフルRCE|CISAがKEV追加
- AIエージェントのフィッシングで認証情報が流出(Varonis報告の検証)
参考資料
- JPCERT/CC「Fortinet製品に関連する認証情報の漏えいに関する注意喚起」(JPCERT-AT-2026-0019、2026年6月23日) https://www.jpcert.or.jp/at/2026/at260019.html
- Fortinet PSIRT https://www.fortiguard.com/psirt
本記事は2026年6月25日時点の公開情報をもとに作成。流出規模・国数・台数はJPCERT/CCの注意喚起の記載に基づく。「FortiBleed」の名称や認証情報の有効性に関する一部の指摘は報道・セキュリティ研究者の見解であり、対応の前に必ずJPCERT/CCおよびFortinet公式の最新情報を確認すること。
漏れた認証情報を放置したまま、次の不正ログインを待ちますか
GXOでは、インターネット公開資産・境界機器の脆弱性診断、侵害が疑われる場合のインシデント対応、継続監視までを支援します。
セキュリティ診断で境界機器を棚卸しする セキュリティの相談をする
※ FortiGateに限らず、VPN・ファイアウォールなど境界機器全体の棚卸しに対応 | 情シス・セキュリティ担当の同席歓迎
