FortiGate デバイスが悪用され、ネットワークが侵害される

サイバーセキュリティ研究者は、脅威アクターが FortiGate 次世代ファイアウォール (NGFW) アプライアンスを攻撃の入り口として悪用する新しいキャンペーンについて注意を喚起しています。

この活動は、最近開示されたセキュリティ脆弱性や脆弱な資格情報を利用して、サービスアカウント資格情報とネットワークトポロジ情報が含まれる設定ファイルを抽出するものです。SentinelOne は、今日発表された報告書でこの活動を詳しく説明しています。

このキャンペーンは、医療、政府、およびマネージドサービスプロバイダーに関連する環境を標的としています。

FortiGate デバイスの脆弱性

セキュリティ研究者である Alex Delamotte、Stephen Bromfield、Mary Braden Murphy、Amey Patne は次のように述べています。「FortiGate ネットワークアプライアンスは、保護するためにインストールされた環境に相当なアクセス権を持っています。多くの設定では、Active Directory (AD) と Lightweight Directory Access Protocol (LDAP) などの認証インフラストラクチャに接続されたサービスアカウントが含まれています。

この設定は、役割ベースのポリシーが設定されている場合や、デバイスが検出したネットワークセキュリティ警告に対する応答速度を向上させるために役立つ場合に、アプライアンスが接続についての情報を取得してディレクトリ情報と関連付ける機能を可能にします。

しかし、SentinelOne は、攻撃者が既知の脆弱性 (例えば、CVE-2025-59718、CVE-2025-59719、および CVE-2026-24858) や誤設定を通じてこれらのデバイスにアクセスする可能性があると指摘しています。

攻撃の手口

2025年11月に FortiGate アプライアンスを侵害した攻撃者は、新しいローカル管理者アカウント

元記事: https://thehackernews.com/2026/03/fortigate-devices-exploited-to-breach.html