サイバーセキュリティの専門家は、FortiGate ネクストジェネレーション ファイアウォールが侵害されたことにより、ネットワーク侵害が増加していることを確認しました。SentinelOne のインシデント対応チームによると、攻撃者は最近発見された脆弱性を利用して、設定ファイルを抽出し、資格情報を盗み、ネットワーク内に深く侵入しています。
脆弱性の詳細
攻撃者は主に Fortinet のシングルサインオンメカニズムの欠点を利用しています。CVE-2025-59718、CVE-2025-59719、そして最近パッチされた CVE-2026-24858 などの脆弱性を悪用することで、有効な資格情報なしで管理者アクセスを取得することができます。
攻撃の手口
攻撃者は、ファイアウォールを侵害した後、2つの異なる侵入手法を使用しています。
- 最初のインシデント:2025年後半から2026年2月にかけて、攻撃者は「support」という名前の偽のローカル管理者アカウントを作成しました。LDAP サービスアカウントの資格情報を盗んだ後、デフォルトの Active Directory 設定を悪用して、2つの不審なワークステーションをネットワークに接続しました。
- 2番目のインシデント:2026年1月、攻撃者は「ssl-admin」というアカウントを作成し、ドメイン管理者アカウントを乗っ取りました。その後、Pulseway や MeshAgent のような正当なリモートモニタリングと管理ツールを展開しました。
防御策と対策
これらの侵害の再発防止には、ログの保持期間が重要です。多くの組織は、ファイアウォールのログを十分な期間保持していないため、初期の侵害を追跡することができません。
- 最新の Fortinet セキュリティパッチをすぐに適用する。
- ファイアウォールとネットワークのログをリアルタイムでセキュリティ情報とイベント管理 (SIEM) システムに転送する。
- エッジデバイスでのログ保持期間を最低14日間、理想は60〜90日間とする。
- ファイアウォールの監査ログをチェックし、予期しない設定ダウンロードを追跡する。
- ドメインコントローラーの Windows イベント ID 4741 を監視し、不審なコンピューターアカウントを検出する。
インジケーターオブコムプロイス (IOC)
- ドメイン: ndibstersoft[.]com, neremedysoft[.]com
- IP アドレス: 185.156.73[.]62, 185.242.246[.]127, 193.24.211[.]61
- URL: hxxps://fastdlvrss[.]s3[.]us-east-1[.]amazonaws[.]com/paswr.zip, hxxps://storage.googleapis[.]com/apply-main/windows_agent_x64[.]msi
- アカウント名: ssl-admin, support
これらの対策を講じることで、組織はサイバー攻撃者の滞在時間を大幅に短縮することができます。