FortiBleed：Fortinet 機器 8 万 6,000 台超の認証情報を SOCRadar が確認、PBKDF2 移行の盲点

2026 年 6 月 16 日に SOCRadar が、翌 17 日には Hudson Rock がそれぞれ、Fortinet 製のファイアウォール・VPN ゲートウェイを大規模に標的とする認証情報収集キャンペーン「FortiBleed」を公表しました。発見の起点はセキュリティ研究者 Volodymyr “Bob” Diachenko 氏による週末の調査で、Hudson Rock と独立系セキュリティ研究者 Kevin Beaumont 氏が追加分析を行い、SOCRadar は別途攻撃者の運用インフラを発見・分析しています。SOCRadar は本キャンペーンが現在も進行中であると評価しており、Fortinet も「サードパーティによる認証情報収集キャンペーン」の存在を認識していると表明しています。ただし設定ファイルが攻撃者にどう取得されたかの初期経路は特定されておらず、Beaumont 氏は既知 CVE の悪用、未公開の新たな脆弱性の悪用、その他のいずれかは現時点で不明と述べています。

影響範囲：調査主体ごとに異なる集計指標

本キャンペーンの規模については、調査主体ごとに対象指標と調査時点が異なる数値が公表されています。同一の数字に揃えず、出典別に整理する必要があります。

194 カ国という地理的範囲は Hudson Rock と SOCRadar の双方で一致しています。Beaumont 氏自身は国別の独自集計を出していないため、3 指標すべてで一致しているわけではありません。また Hudson Rock の 73,932 件（ユニーク URL）と SOCRadar の 8 万 6,644 台（Compromised Devices）の差は、両者の集計対象の違いに加え、SOCRadar 自身が初期報告から数値を上方修正している点にも由来しており、単純に「指標の違いだけで矛盾しない」と断言することはできません。

Hudson Rock が集計した上位 10 カ国（デバイス数ベース）は、インド 9,629 件、米国 6,352 件、台湾 3,637 件、メキシコ 3,197 件、トルコ 3,032 件、タイ 2,939 件、コロンビア 2,436 件、マレーシア 2,066 件、チリ 2,015 件、アラブ首長国連邦（UAE）1,988 件です。業種別では IT サービスが 1,975 件で最多、建設資材 587 件、通信 574 件、建設・エンジニアリング 528 件、産業機器 467 件が続きます。SOCRadar の集計では通信が 5,616 件で最大セクター、政府関連は 591 件・111 ドメインに及び、うち 60 ％ 超がインドの組織です。

Hudson Rock が公表した影響を受けた可能性のある組織には、Foxconn、Samsung、Comcast、Siemens、Lenovo、PwC、Accenture、Oracle などが含まれます。ただし、企業名やドメインに関連するとみられるエントリーが含まれていても、現在有効な認証情報が存在することや、各組織への侵害が成立したことを直ちに意味するものではありません。SOCRadar 自身も Exposure Checker 公開記事で、データセット内のレコードには時期や有効性の異なる認証情報・設定アーティファクトが含まれ、古い情報、重複、すでに修正済みの資産に関連するエントリーが含まれる可能性があると説明しています。個別の確認が必要です。

Belsen Group 事件との比較

Beaumont 氏は本件を 2025 年に公開された「Belsen Group」のリークと比較しています。Belsen Group のリークは、2022 年のゼロデイ脆弱性悪用によって取得された約 1 万 5,000 台分の設定データが、2025 年に公開された事例です。Beaumont 氏によると、今回の FortiBleed データセットは Belsen Group のデータと対象 IP アドレスの大部分が異なり、多くの機器が現在もオンラインで、比較的新しいパッチを適用していました。このため同氏は、2022 年当時のデータをそのまま再公開したものではなく、比較的最近の情報を含むデータに見えると評価しています。また、データが組織を「業種・売上高・国名」で分類している形式は、サイバー犯罪集団が初期アクセスを販売する際の整理形式と酷似しているとも指摘されています。

攻撃チェーン：自己強化型の認証情報収集サイクル

SOCRadar の分析によると、攻撃者は次の 2 段階で攻撃を継続しています。

1. 過去に流出した Fortinet 関連パスワードをインターネット公開機器に試行：ランダムな総当たりではなく、過去のインシデントで Fortinet デバイスから漏洩した認証情報リストを軸に検証を実施しています。多くの組織が過去の侵害後にパスワードを変更していない実態を踏まえ、ランダムな文字列を試す総当たりよりログインに成功する可能性が高い手法です。
2. 侵害したデバイスを観測拠点として通過トラフィックから追加認証情報を収集：境界に位置する FortiGate へ侵入後、SSH 経由で diagnose sniffer（FortiGate に標準搭載されている診断用パケットキャプチャ機能）を実行し、通過する認証トラフィックから追加の認証情報を収集します。新たに取得した認証情報は再びスキャナーに投入され、より多くのデバイスを侵害する自己強化型の攻撃サイクルが形成されています。

SOCRadar が Exposure Checker 公開記事で再構成した攻撃チェーンの規模は次の通りです。masscan によるインターネット全体のスキャンで 5,930 万ホストを検査し、約 43 万 7,000 台の FortiGate を識別、SSH に対して約 8 億 5,600 万、Web 管理パネルに対して約 21 億のログイン試行を実施しました。その結果 8 万台超のデバイスを侵害し、16,000 を超える企業ネットワークで通過トラフィックのパッシブキャプチャを実施、21 種類のプロトコルパーサーを用いて 1 億 500 万件超の認証情報を収集したとされています。回収した認証情報のうち解析難度が高いパスワードハッシュは、10 台の NVIDIA RTX 4090 で構成された GPU クラッキングリグで平文に復元され、企業の売上高でランク付けされていました。SOCRadar はこの一連の流れを「業務化された認証情報収集オペレーション」と表現し、二次的なアクセス先として MSSQL、RD Web、Synology が含まれ、NATO 加盟国の防衛請負業者を含むエクスフィルトレーションが発生していると述べています。

Hudson Rock が Diachenko 氏の調査結果として紹介している攻撃インフラの規模も併せて公表されています。Diachenko 氏は約 32 万台の FortiGate を標的に約 11 億 6,000 万回の認証試行と、約 16 万台の Microsoft SQL Server に対する約 21 億回のブルートフォース試行を観測し、SSL VPN 認証ハッシュをセッションから傍受したものを、45 基の GPU で構成された Hashtopolis クラスターでオフライン解析していたとしています。これらの数値は SOCRadar の Exposure Checker 記事の数値とスケールは概ね整合する一方、観測時点・観測対象が異なるため、両者の数値はそれぞれの調査結果として並列に参照するのが適切です。

PBKDF2 移行の盲点：旧 SHA-256 ハッシュの残存問題

本件で技術的に押さえておくべき点は、Fortinet が管理者パスワードハッシュの保存方式を強化しているにもかかわらず、多くの機器で旧来の SHA-256 ハッシュが残存していると Beaumont 氏が指摘している点です。

Fortinet 公式ドキュメントによれば、管理者パスワードハッシュを SHA-256（ソルト付き）から PBKDF2 に変更する仕組みは、2025 年初頭のファームウェア更新で FortiOS 7.2.11、7.4.8、7.6.1 から導入されました。ただしこの再ハッシュは「アップグレード後に各管理者が実際にログインしたタイミング」で PBKDF2 形式へ再保存される設計のため、アップグレード後にログインしていない管理者アカウントは依然として SHA-256 ハッシュのまま保存され続けます。

SHA-256 は汎用ハッシュ関数で計算コストが低く、PBKDF2 と比較するとブルートフォースや辞書攻撃に対する耐性が低いことは事実です。設定ファイルが攻撃者の手に渡った場合、過去の漏洩で既に知られているパスワードや、辞書ベースで現実的な探索範囲に収まるパスワードについては、オフラインでのパスワード解析で効率的に復元される可能性があります。一方で、十分に長くランダムで他で再利用していないパスワードは、SHA-256 だからというだけで現実的な時間内に必ず復元されるわけではありません。Hudson Rock のデータセットに含まれる長く複雑なパスワードについても、それらがハッシュ解析で復元されたものか、過去の平文窃取・既知パスワードの再利用に由来するものかは、公開情報の範囲では切り分けられていません。

さらに、PBKDF2 への変換後も SHA-256 ハッシュをシステム上に保持する仕様が、ダウングレード互換性のためデフォルトの動作となっています。旧 SHA-256 ハッシュを削除する設定は既定で無効であるため、ダウングレード互換性を目的とした旧ハッシュの保持が既定の動作です。旧 SHA-256 ハッシュを削除して攻撃面を縮小するには、config system password-policy 配下のオプションを有効化する必要があります。このオプション名は FortiOS バージョンによって異なります。

FortiOS 7.6 系列の途中、7.6.2 と 7.6.3 の境界でコマンド名が変更されている点には注意が必要です。本コマンドを有効化した場合、PBKDF2 変換後の管理者ハッシュから旧来の SHA-256 ハッシュが削除されますが、その後 PBKDF2 をサポートしないバージョンへダウングレードすると管理者ログインができなくなる仕様です。

Fortinet の公式見解

Fortinet 広報の Tiffany Curci 氏は TechCrunch および BleepingComputer に対し、同社は「サードパーティによる認証情報収集キャンペーンが Fortinet ファイアウォールおよび VPN ゲートウェイを標的としていることを認識している」と回答しました。同社の分析に基づくと、対象となっているデータは「過去のインシデント由来データの再共有およびブルートフォース攻撃によるもので、最近のインシデントやアドバイザリとは関係がない」としています。なお同社見解は新たな脆弱性の存在を明示的に否定するものではなく、既知のものを含むいずれの脆弱性が初期取得経路として使われたかについては言及されていません。SOCRadar も独自調査の結果として、現時点で Fortinet 自体の侵害やゼロデイ悪用を示す証拠は確認していないとしていますが、設定ファイルが攻撃者にどう渡ったかの初期取得経路は引き続き調査対象です。

推奨される対処

Hudson Rock、SOCRadar、Beaumont 氏が示している対処は概ね一致しています。

• 管理インターフェースをインターネットから外す：影響を受けたデバイスの大半は、FortiGate の管理インターフェースがインターネット側に公開されていたとされます。必要最小限の経路に絞ったアクセス制御が最も効果的です。
• 該当または侵害が疑われる場合は、管理者・VPN パスワードを直ちにローテーション：照会ツールでデータセットへの掲載が確認された場合は、本データセットに含まれている前提で対応する必要があります。データセットへの掲載が確認できない場合でも、長期間変更していない認証情報は見直してください。
• サポート対象リリースへの公式アップグレードパスに従った更新：利用中の機種・FortiOS 系列で Fortinet が推奨するサポート対象リリースへ、公式アップグレードパスに従って更新します。PBKDF2 導入版へのアップグレード後は、全管理者が一度ログインして PBKDF2 形式への再保存を行う必要があります。ログインを実施しない限り、SHA-256 ハッシュは残存します。
• 旧 SHA-256 ハッシュ保持の無効化：自組織の FortiOS バージョンに応じて login-lockout-upon-downgrade または login-lockout-upon-weaker-encryption を有効化することで、PBKDF2 変換後に旧 SHA-256 ハッシュを削除できます。ただしダウングレード時にロックアウトされる仕様のため、運用ポリシーを踏まえた判断が必要です。
• 多要素認証の徹底：管理アカウントおよび外部 VPN ゲートウェイに多要素認証を適用することで、窃取されたパスワードだけを利用した不正ログインのリスクを大幅に低減できます。ただし MFA 方式、セッション情報の窃取、設定ミスなどによっては侵害を完全に防げないため、他の対策と組み合わせる必要があります。
• 内部環境への横展開有無の確認：Diachenko 氏の調査結果として Hudson Rock が紹介している通り、本キャンペーンでは境界侵入後の内部 Active Directory への展開が報告されており、ログイン履歴・認証ログ・LDAP/RADIUS バインドアカウントの動向確認が必要です。バックドア管理者アカウントの作成や設定変更の有無も確認対象に含めてください。
• ドメイン照会ツールの活用と限界の理解：Hudson Rock と SOCRadar が無償のドメイン照会ツールを公開しており、自組織のドメインがデータセットに含まれているかを確認できます。ただし照会結果は影響調査の起点として利用するものであり、掲載されていないことを安全性の保証とみなさないでください。SOCRadar のデータは現在も更新されています。

一次情報・公式情報

• Hudson Rock（InfoStealers）”FortiBleed: 75,000 Fortinet Firewalls Compromised: Global Enterprises Exposed”（Hudson Rock による分析。Diachenko 氏の調査内容を紹介）：https://www.infostealers.com/article/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure/
• SOCRadar “FortiBleed: The Compromise of Fortinet Firewalls”（影響範囲・概要分析、数値は定期的に更新）：https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
• SOCRadar “Launches Free FortiBleed Exposure Checker and Publishes the Most Extensive Dataset on the Fortinet Credential Leak”（詳細な攻撃チェーン分析）：https://socradar.io/blog/socradar-free-fortibleed-exposure-checker/
• Kevin Beaumont（DoublePulsar）”FortiBleed – 75k Fortinet firewalls have admin passwords cracked”：https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8

製品ベンダー情報

• Fortinet 公式ドキュメント “Enhanced administrator password security”（FortiOS 8.0.0 Administration Guide）：https://docs.fortinet.com/document/fortigate/8.0.0/administration-guide/548023/enhanced-administrator-password-security
• Fortinet 公式ドキュメント “Admin Access Lockout Risk when upgrading or downgrading from versions with PBKDF2 support”（FortiOS 7.2.13 Release Notes）：https://docs.fortinet.com/document/fortigate/7.2.13/fortios-release-notes/10115/admin-access-lockout-risk-when-upgrading-or-downgrading-from-versions-with-pbkdf2-support
• Fortinet 公式ドキュメント “Enhanced administrator password security NEW”（FortiOS 7.4.8 Administration Guide）：https://docs.fortinet.com/document/fortigate/7.4.8/administration-guide/548023/enhanced-administrator-password-security-new
• Fortinet 公式ドキュメント “Enhanced administrator password security 7.6.1″（FortiOS 7.6.0 New Features より）：https://docs.fortinet.com/document/fortigate/7.6.0/new-features/548023/enhanced-administrator-password-security-7-6-1
• Fortinet 公式 CLI リファレンス “config system password-policy”（FortiOS 7.6.2）：https://docs.fortinet.com/document/fortigate/7.6.2/cli-reference/127236326/config-system-password-policy
• Fortinet 公式 CLI リファレンス “config system password-policy”（FortiOS 7.6.3）：https://docs.fortinet.com/document/fortigate/7.6.3/cli-reference/127236326/config-system-password-policy
• Fortinet 公式 CLI リファレンス “config system password-policy”（FortiOS 7.6.7）：https://docs.fortinet.com/document/fortigate/7.6.7/cli-reference/127236326/config-system-password-policy
• Hudson Rock ドメイン照会ツール：https://www.hudsonrock.com/fortinet
• SOCRadar FortiBleed Exposure Checker：https://socradar.io/free-tools/fortibleed

参考情報

• TechCrunch（Lorenzo Franceschi-Bicchierai 氏、Fortinet 公式コメント掲載）”Cybercriminals allegedly hacked tens of thousands of Fortinet firewalls used by major companies all over the world”：https://techcrunch.com/2026/06/17/cybercriminals-allegedly-hacked-tens-of-thousands-of-fortinet-firewalls-used-by-major-companies-all-over-the-world/
• BleepingComputer（Fortinet 公式コメント掲載）”FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices”：https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
• Arctic Wolf “Active FortiBleed Campaign Impacting Fortinet Devices Across 194 Countries”：https://arcticwolf.com/resources/blog/active-fortibleed-campaign-impacting-fortinet-devices-across-194-countries/
• BleepingComputer “Fortinet says 500,000 FortiGate VPN credentials leaked by hackers are legit”（2021 年の関連事例）：https://www.bleepingcomputer.com/news/security/fortinet-says-500-000-fortigate-vpn-credentials-leaked-by-hackers-are-legit/