脅威アクターの活動の分析

米国時間2025年4月10日に掲載されたフォーティネットブログの抄訳です。

サイバーセキュリティの進化を牽引する存在として、Fortinetはこれまでも業界をリードし、サイバーセキュリティにおけるベストプラクティス推進に注力してまいりました。当社は、倫理的な製品開発と脆弱性開示において模範となるべく、責任ある透明性を重視し、厳格な開示方針に基づき、国際規格および業界標準に準拠した取り組みを継続しています。また、業界全体と緊密に連携し、あらゆるお客様の利益のために、より強固な標準の策定・実装および徹底を推進しています。例えば、脅威リサーチ、自動アップグレード機能の提供、サイバーセキュリティに関するトレーニングと教育、そしてベストプラクティスや基本的なサイバーセキュリティ手法に関し、主体的かつ積極的にコミュニケーションを実践していることもその一例です。

最近のインシデントにより、既知の脆弱性が積極的に悪用されているため、そういった活動が引き続き注目されています。Fortinetの調査により、ある脅威アクターが「ポスト・エクスプロイト（侵害後）」の手法を用いていたことが明らかになりました。

この調査の中で、脅威アクターは、既知の脆弱性（例：FG-IR-22-398、FG-IR-23-097、FG-IR-24-015）を利用してFortinet製品にアクセスしていたことが確認されました。既知かつ未修正の脆弱性を狙う攻撃は目新しいものではなく、これまでも分析されてきましたが、今回のケースでは、既知の脆弱性を利用してアクセスを得た後に、新たな技術を用いてFortiGateデバイスへの「読み取り専用アクセス」を維持するという新しい手法が用いられていた点が特徴です。

この手法を発見後、FortinetはPSIRT（Product Security Incident Response Team）対応を直ちに開始し、必要な緩和策を策定するとともに、影響を受けたお客様に対してすでに情報を提供しております。また、現在も当該のお客様と直接連携しながら、問題の解決に向けた対応を支援しています。

Fortinetは、お客様のセキュリティ確保と責任ある透明性の文化の両立を重視し、こうした情報の共有に継続的に取り組んでおります。

以下に、今回確認された状況について詳細を記載します。

事象の詳細

Fortinet製品の既知の脆弱性を悪用して侵入したある脅威アクターが、新しいテクニックを用いて、侵入経路を塞いだ後でも当該デバイスに対する「読み取り専用アクセス」を維持していたことが判明しました。

ある脅威アクターが、既知の脆弱性を悪用して脆弱なFortinetデバイスに対して「読み取り専用アクセス」を取得しました。これは、脅威アクターがSSL-VPNで使用される言語ファイルの提供フォルダーに、「ユーザーファイルシステム」と「ルートファイルシステム」を結びつける「シンボリックリンク」を作成したことによって実現されました。また、この変更は、「ユーザーファイルシステム」内で行われ、検出を回避しました。そのため、脆弱性を修正するFortiOSバージョンにアップデートした後でも、「シンボリックリンク」が残存することがあり、デバイスのファイルシステムにあるファイル(設定ファイルを含む)への「読み取り専用アクセス」が維持される可能性がありました。

なお、お客様がSSL-VPN機能を一度も有効化していない場合、本件の影響を受けることはありません。

この調査の一環として、Fortinetは自社で収集、分析した遠隔監視データおよび外部諸機関との連携を通じて、影響を受けたデバイスの特定作業を実施しました。収集されたデータからは、今回の攻撃が特定の地域や業種を対象にしていた形跡は確認されていません。

対応策について

脅威アクターが使用した新たなテクニックを確認した後、Fortinetはお客様が直面する様々なセキュリティ課題に配慮しつつ、以下の対策を講じました：

• 該当のシンボリックリンクを検知・削除するためのAV/IPSシグネチャの作成
• 最新のFortiOSリリースにて、シンボリックリンクの検出・削除、SSL-VPNが想定したファイルのみを処理するように変更
• お客様に対する積極的な注意喚起とアップデートの推奨（機密保持と透明性のバランスを考慮）
  

本件に関する具体的なFortiOSの対応は以下の通りです：

• FortiOS 7.4, 7.2, 7.0, 6.4 において、ライセンス有効なAV/IPSエンジンにより悪意のあるシンボリックリンクを自動削除
• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 へのアップグレードにより、当該シンボリックリンクを削除
• 上記バージョンにて、SSL-VPNのUIを改良し、悪意のあるシンボリックリンクの処理を防止
  

利用可能なテレメトリーで本事案の影響を受けていると判明したお客様にはすでに個別に連絡を行っており、下記の対応を推奨しております：

• FortiOSを推奨バージョン（7.6.2、7.4.7、7.2.11、7.0.17、6.4.16）へアップグレード
• すべての機器の設定を確認
• 設定内容は潜在的に侵害されたものとして扱い、以下のガイドラインに従い復旧措置を実施
  • Fortinet技術ヒント: 復旧手順

最新バージョンへのアップグレードの必要性

全ての組織において、デバイスを常に最新の状態に保つことが極めて重要です。多くの政府機関が、国家支援を受けた脅威アクターによるあらゆるベンターに対しての未修正の既知脆弱性の悪用を警告しています。既知の脆弱性への最善の防衛策は、アップグレードを含む健全なサイバー空間構築の徹底です。

FortiGuard Labsが発表した「フォーティネット グローバル脅威レポート 2023年下半期版」では、新たな脆弱性が公表されてから平均4.76日で脅威アクターにより悪用されていることが報告されています。このような状況下では、ベンダーと顧客の双方が役割を持つ必要があります。ベンダーは製品ライフサイクルのあらゆる段階で厳格なセキュリティ検証を実施し、脆弱性に関する透明性を確保する責任があります。また、NISTのデータによると、2024年には40,000件を超える脆弱性が報告されており、顧客も厳格なパッチ管理を実施することが求められます。

Fortinetは、お客様に対し、常に最新バージョンにアップグレードした状態でご利用いただくことを強く推奨しています。今回の事象に関して影響を受けたことが判明したお客様には個別に連絡し、対応をお願いしております。

加えて、Fortinetは以下のようなセキュリティ強化策を製品に実装しており、最新バージョンにアップグレードすることでこれらを活用いただけます：

• 攻撃の難易度を高めるコンパイル時のハードニング強化
• パッチ適用前に問題を低減する仮想パッチ機能
• ハードウェア（BIOS）レベルでのファームウェア整合性検証
• ファイルシステム整合性とIMA（Integrity Measurement Architecture）の導入
• 管理者の介入なしに脆弱性に対応する自動アップデート機能

さらに、Fortinetではシステムの堅牢化に関する推奨事項を含むFortiOSのベストプラクティスガイド、自動アップグレード機能（例：無停止クラスタアップグレード、サブセカンド・フェイルオーバー、フェイルオーバープロテクション、自動構成復元/コンフィギュレーション・リビジョン、自動・スケジュール更新など）も提供していますので、ぜひご活用ください。

引き続き、安全なサイバー環境の構築に向けたご理解とご協力をお願い申し上げます。