はじめに
Fortinet製ファイアウォールにおいて、5年前の二要素認証(2FA)バイパスの重大な脆弱性(CVE-2020-12812)が、依然として1万台以上のデバイスで悪用されていることが判明しました。この脆弱性は、すでに2020年にパッチがリリースされているにもかかわらず、現在もオンラインで公開され、継続的な攻撃に晒されています。
脆弱性の詳細:CVE-2020-12812
この脆弱性は、FortiGate SSL VPNに存在する不適切な認証セキュリティの欠陥(深刻度9.8/10)です。ユーザー名の大文字・小文字を変更することで、二要素認証(FortiToken)のプロンプトなしに、攻撃者がパッチ未適用ファイアウォールにログインできてしまうというものです。特に、LDAP(Lightweight Directory Access Protocol)が有効になっている設定が狙われています。
Fortinetは2020年7月にFortiOSバージョン6.4.1、6.2.4、6.0.10でこの脆弱性に対処しており、直ちにパッチを適用できない管理者に対しては、ユーザー名の大文字・小文字の区別を無効にすることを推奨していました。
現在の状況と監視機関の警告
インターネットセキュリティ監視機関Shadowserverの報告によると、現在、CVE-2020-12812に対するパッチが適用されておらず、インターネットに公開されているFortinet製ファイアウォールが1万台以上確認されており、そのうち1,300以上のIPアドレスが米国に集中しています。
Fortinet自身も、2020年7月の脆弱性FG-IR-19-283 / CVE-2020-12812が、特定の構成に基づき、現在も「in the wild」(実環境)で悪用されていることを警告しています。
過去の警告とランサムウェアとの関連
米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)とFBIは、2021年4月にはすでに、国家支援型ハッキンググループがCVE-2020-12812を含む複数のFortinet脆弱性を悪用してFortinet FortiOSインスタンスを標的にしていると警告していました。その7ヶ月後には、CISAがCVE-2020-12812を既知の悪用されている脆弱性リストに追加し、ランサムウェア攻撃で悪用されていると明記し、米国連邦機関に対し2022年5月までにシステムを保護するよう命じています。
繰り返されるFortinet製品の脆弱性
Fortinet製品の脆弱性は、頻繁に攻撃に悪用されており、中にはゼロデイ脆弱性として悪用されるケースも少なくありません。最近の事例としては以下のようなものがあります。
- 2025年12月: CVE-2025-59718(重大な認証バイパス脆弱性)が攻撃者によって悪用され、悪意のあるシングルサインオン(SSO)ログインを介して管理者アカウントが乗っ取られる事案が発生。
- 2025年11月: CVE-2025-58034(FortiWebゼロデイ脆弱性)が活発に悪用されているとFortinetが警告。
- その1週間後: Fortinetは、2つ目のFortiWebゼロデイ脆弱性CVE-2025-64446が大規模な攻撃で悪用されたことを確認し、密かにパッチを適用。
- 2025年2月: 中国の脅威グループ「Volt Typhoon」が、2つのFortiOS脆弱性CVE-2023-27997とCVE-2022-42475を悪用し、オランダ国防省の軍事ネットワークにカスタムのCoathangerリモートアクセス型トロイの木馬マルウェアを仕掛けていたことが明らかに。