GXO
インシデント対応

FortiBleed|FortiGate認証情報流出 パッチ済みでも危険な理由と棚卸し

14分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

セキュリティ

結論:FortiBleedは「パッチを当てれば終わり」ではない。認証情報の棚卸しと変更が今すぐ必要

2026年6月23日、JPCERT/CCは「Fortinet製品に関連する認証情報の漏えいに関する注意喚起」(JPCERT-AT-2026-0019)を公開した。報道で「FortiBleed」と呼ばれるこの事案では、194カ国にわたる企業や政府機関に属する86,644台以上の機器のログイン情報が、攻撃者が保有するデータベースに含まれていることが指摘されている。JPCERT/CCは、この情報に国内企業に関連するものが含まれていることを確認したとしている。

重要なのは、これが新しいソフトウェア脆弱性(ゼロデイ)ではないという点だ。Fortinet PSIRTの見解として、本事案は過去のインシデントで取得された認証情報の再利用が主因とされている。つまり、最新ファームウェアにパッチを当てていても、過去に流出した認証情報が変更されないまま残っていれば、その認証情報でログインされうる。加えて、旧いハッシュ方式で保存された認証情報はオフラインで解読され得るとも指摘されており、ファームを更新しても古いハッシュが再生成されずに残っていれば危険は消えない。

該当する可能性がある組織が今すぐやるべき3手は次のとおりだ。

  1. インターネットに公開しているFortiGate(SSL-VPN、管理画面、ローカル管理者)の認証情報を変更し、多要素認証を有効化する
  2. 設定ファイルがエクスポートされた痕跡と、不審なアカウント・ログイン履歴を点検する
  3. 管理者パスワード再設定後、古いハッシュが残らないようにし、影響範囲を境界機器全体で棚卸しする

押さえるべき1点:FortiBleedは「脆弱性を塞ぐ」事案ではなく「漏れた鍵を作り直す」事案である。

該当しうる組織は、まずセキュリティの脆弱性診断・公開資産の棚卸しでFortiGate単体ではなくインターネット公開資産全体を洗い出すと、対応の漏れを防げる。本事案は連載セキュリティ失敗図鑑でも繰り返し扱う「境界機器の認証情報を作り直さないまま放置する」典型例にあたる。

FREE DOWNLOAD

中小企業のDX推進「失敗を防ぐ5ステップ」ガイドを無料でお送りします

多くの企業がつまずくポイントを着手順に整理した無料ガイド。相談する前に、自社の現在地と進め方を掴めます。

5ステップガイドを無料でダウンロード

なぜパッチ済みでも危険なのか

通常の脆弱性対応は、修正版ファームウェアを適用すれば攻撃経路が閉じる。だがFortiBleedの構図はそれとは異なる。報道によると、複数のセキュリティ研究者は漏えいした認証情報が現在も有効である可能性を指摘している。Fortinet PSIRTは新規脆弱性ではないとしているが、認証情報そのものが鍵である以上、ファームウェアを更新しても鍵を変えなければ扉は開いたままになる。

危険が続く理由を整理すると次のようになる。

横にスクロールして確認できます

危険が残る理由何が問題かパッチで解決するか
認証情報の再利用過去に漏れたID/パスワードが未変更のまま残るしない(変更が必要)
設定ファイルの流出エクスポートされた設定にVPNユーザーや内部構成が含まれるしない(再構成・変更が必要)
管理者ハッシュの残存旧いハッシュ方式のままだとオフラインで解読されうる一部(更新+ハッシュ再生成が必要)
MFA未設定パスワードだけで境界を越えられるしない(MFA有効化が必要)
横展開VPN突破後にActive Directoryなど内部へ侵入されるしない(内部の点検が必要)

JPCERT/CCの注意喚起でも、認証情報の変更と多要素認証の有効化、Active Directory環境の不審なアクティビティ確認、設定ファイルのエクスポート痕跡確認、FortiOSの更新、管理者パスワード再設定後の旧ハッシュ削除が推奨事項として挙げられている。いずれも「パッチを当てる」だけでは完結しない。

影響確認の観点と対応優先度

自社のFortiGateがどの程度のリスクにさらされているかは、公開状況と運用状態で大きく変わる。次の観点で優先度を切り分けると判断しやすい。

横にスクロールして確認できます

確認の観点高リスクとなる状態対応優先度
SSL-VPN/管理画面のインターネット公開公開している最優先(即時)
多要素認証(MFA)未設定最優先(即時)
管理者・VPNアカウントのパスワード流出時期以降に未変更最優先(即時)
設定ファイルのエクスポート痕跡未確認高(早期)
不審なアカウント・ログイン履歴未確認高(早期)
内部(AD等)への横展開痕跡未確認高(早期)
FortiOSのバージョン旧バージョンのまま中(計画的)

最優先は「インターネットに公開している境界機器」と「MFAが無い・パスワードが古い」状態の組み合わせだ。ここが一致する組織は、ファームウェアの状態にかかわらず即時対応の対象になる。

FREE DOWNLOAD

中小企業の脆弱性対応 月次運用テンプレ

情シス1人体制でも回せる脆弱性棚卸・対応フローのテンプレート(Excel版)。

棚卸しチェックリスト

該当する可能性がある組織は、次の項目を順に確認・実施する。一次情報(JPCERT/CC・Fortinet公式)を必ず参照しながら進めること。

認証情報のローテーション

  • インターネットに公開しているFortiGateを洗い出す(SSL-VPN、WebGUI、SSH/管理ポート)
  • 管理者アカウントのパスワードを変更する
  • SSL-VPNユーザー、ローカルユーザーの認証情報を変更する
  • 多要素認証(MFA)を有効化する
  • 管理者パスワード再設定後、古いハッシュが残らないようにする
  • 不要・未使用のローカルアカウントを無効化・削除する

設定ファイル流出の確認

  • 設定ファイル(コンフィグ)がエクスポートされた痕跡をログで確認する
  • 流出が疑われる場合、設定に含まれる事前共有鍵・証明書・APIトークン等を再発行する

不審アカウント・横展開の点検

  • 想定外の管理者アカウント・VPNユーザーが追加されていないか確認する
  • 不審なログイン元IP・時間帯のアクセス履歴を確認する
  • Active Directory等の内部環境で不審なアクティビティがないか確認する

機器側の恒久対応

  • FortiOSを公式の推奨バージョンへ更新する
  • 管理画面のインターネット直接公開を見直す(VPN/専用経路経由に限定)
  • 同様の境界機器(他社製VPN・FW含む)も同じ観点で棚卸しする

GXOが支援できる範囲

GXOは、Fortinet/FortiGateの公式サポート、ファームウェア提供、流出データベースの網羅的照合、侵害なしの保証を行う立場ではない。支援できるのは、VPN・ファイアウォールなど境界機器の外部到達性、認証情報、MFA、ログ、不審アカウント、横展開兆候を棚卸しし、公式情報に基づく判断材料を整理することだ。

脆弱性診断インシデント対応セキュリティ継続監視を組み合わせ、パッチ適用だけで終わらせず、漏れた可能性がある認証情報のローテーションと継続監視まで支援する。FortiGate単体ではなく、境界機器全体を点検する相談として使ってほしい。

よくある質問

Q. 自社のFortiGateが流出データベースに含まれているか、どうすれば分かりますか。 A. 一般公開された確実な照合手段は限定的です。流出有無の判定を待つのではなく、該当しうる前提で認証情報を変更し、設定エクスポートや不審ログインの痕跡をログで点検するのが安全です。JPCERT/CCは国内企業に関連する情報が含まれていることを確認したとしています。

Q. 最新ファームにアップデートしていれば問題ないのではないですか。 A. FortiBleedは新規脆弱性ではなく、過去に取得された認証情報の再利用が主因とされています。ファームウェア更新は重要ですが、それだけでは漏れた認証情報の有効性は消えません。認証情報の変更とMFA有効化が必須です。

Q. パスワードを変えれば設定ファイルの流出は気にしなくてよいですか。 A. いいえ。設定ファイルには事前共有鍵・証明書・連携先の情報などが含まれる場合があります。エクスポート痕跡がある場合は、設定内の鍵・トークン類の再発行まで踏み込む必要があります。

この記事を読むべき人

  • FortiGateを社内ネットワークの境界(VPN・ファイアウォール)に利用している情シス・インフラ担当
  • 自社がFortiBleedの影響を受けているか判断できず、何から確認すべきか迷っている担当者
  • 経営層・セキュリティ責任者から「影響と対応状況の説明」を求められている担当者
  • 境界機器の運用が属人化しており、棚卸しや継続監視の体制が無い組織

境界機器の安全な棚卸しの考え方は、セキュリティ診断で境界機器を棚卸しするという観点で進めると、FortiGate単体ではなく公開資産全体を漏れなく確認できる。すでに侵入が疑われる場合はインシデント対応の初動が優先される。

GXOに相談すべきタイミング

  • インターネットに公開しているFortiGateがあるが、認証情報の変更・MFA・公開設定を自社だけで点検しきれない
  • 設定ファイルのエクスポート痕跡や不審ログインの有無を、ログから判断する体制が無い
  • すでに不審なアクセスやアカウント追加が見つかり、内部への横展開が疑われる
  • FortiGateに限らず、VPN・ファイアウォールなど境界機器全体を一度棚卸ししたい
  • 一度の対応で終わらせず、継続的に境界機器を監視する体制を整えたい

GXOでは、脆弱性診断・セキュリティ診断による境界機器・公開資産の棚卸し、侵害が疑われる場合のインシデント対応、そして再発防止のための継続監視・セキュリティリテイナーを組み合わせ、FortiBleedのような認証情報流出への対応を支援する。自社のセキュリティ体制全体の見直しはセキュリティ対策から相談できる。

→ FortiGateの棚卸しや影響確認に不安がある場合は、セキュリティの相談はこちら

棚卸しや認証情報ローテーションの実務チェックリストは、実務チェックリストなどの資料をダウンロードでも配布している。

関連記事

参考資料

本記事は2026年6月25日時点の公開情報をもとに作成。流出規模・国数・台数はJPCERT/CCの注意喚起の記載に基づく。「FortiBleed」の名称や認証情報の有効性に関する一部の指摘は報道・セキュリティ研究者の見解であり、対応の前に必ずJPCERT/CCおよびFortinet公式の最新情報を確認すること。

漏れた認証情報を放置したまま、次の不正ログインを待ちますか

GXOでは、インターネット公開資産・境界機器の脆弱性診断、侵害が疑われる場合のインシデント対応、継続監視までを支援します。

セキュリティ診断で境界機器を棚卸しする

セキュリティの相談をする

※ FortiGateに限らず、VPN・ファイアウォールなど境界機器全体の棚卸しに対応 | 情シス・セキュリティ担当の同席歓迎

ISSUE HUB

セキュリティリスクを減らしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK