はじめに
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、政府機関に対し、Fortinet社のウェブアプリケーションファイアウォール「FortiWeb」に存在する新たな脆弱性(CVE-2025-58034)について、7日以内にパッチを適用するよう命じました。この脆弱性は既にゼロデイ攻撃で悪用されており、緊急性の高い対応が求められています。
FortiWebの脆弱性(CVE-2025-58034)の詳細
CVE-2025-58034は、OSコマンドインジェクションの脆弱性(CWE-78)です。Fortinet社によると、「FortiWebにおけるOSコマンドに使用される特殊要素の不適切な無効化(OSコマンドインジェクション)の脆弱性により、認証された攻撃者が細工されたHTTPリクエストまたはCLIコマンドを通じて、基盤システム上で不正なコードを実行できる可能性があります」と説明されています。この攻撃は、ユーザーの操作を必要とせず、低い複雑性で実行可能です。
CISAによる緊急措置と期限
CISAは、この脆弱性を「既知の悪用された脆弱性カタログ(KEV)」に追加し、連邦政府の行政機関(FCEB)に対し、拘束力のある運用指令(BOD)22-01に基づき、11月25日(火)までにシステムを保護するよう義務付けました。
CISAは、「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃経路であり、連邦政府の組織に重大なリスクをもたらします」と警告しています。さらに、最近および継続的な悪用事例を鑑み、1週間という短縮された修正期間を推奨しています。
関連する過去の脆弱性
CISAが言及する「最近および継続的な悪用事例」には、FortiWebの別のゼロデイ脆弱性(CVE-2025-64446)も含まれています。この脆弱性はFortinetが10月下旬にサイレントパッチを適用したもので、CISAは既に連邦機関に対し、11月21日までにパッチを適用するよう命じています。
また、Fortinet製品の脆弱性は、サイバースパイ活動やランサムウェア攻撃で頻繁に悪用されています。過去には、以下のような事例があります。
- 2025年8月:FortiSIEMソリューションにおけるコマンドインジェクション脆弱性(CVE-2025-25256)を修正。
- Fortinet SSL VPNに対するブルートフォース攻撃の急増。
- 2025年2月:中国のハッキンググループ「Volt Typhoon」が、FortiOS SSL VPNの2つの脆弱性を悪用し、カスタムRAT「Coathanger」を使用してオランダ国防省の軍事ネットワークに侵入。
結論
Fortinet製品の脆弱性が継続的に攻撃の標的となっている状況は、政府機関だけでなく、多くの組織にとって重要な警鐘です。CISAが指定した期限内に迅速なパッチ適用を行うことで、サイバー攻撃のリスクを最小限に抑えることが不可欠です。