概要
SentinelOneの研究者が、FortiGate次世代ファイアウォールを起点とした組織的な侵害キャンペーンを確認した。攻撃者は医療機関・政府機関・マネージドサービスプロバイダー(MSP)を主な標的とし、FortiGateの設定ファイルからサービスアカウントの認証情報とネットワーク構成情報を抽出することで、ActiveDirectory(AD)環境へのアクセス権を獲得している。
初期侵入には、最近公開された3件の脆弱性(CVE-2025-59718、CVE-2025-59719、CVE-2026-24858)の悪用や、デフォルト・弱い認証情報の利用、ファイアウォール設定ミスが使われている。侵害後は「support」という名前のローカル管理者アカウントを作成し、ゾーン間を制限なく通過できるファイアウォールポリシーを複数設定するケースも確認されており、初期アクセスブローカーとして後続の攻撃グループに足がかりを販売する行動パターンと一致している。
技術的な手口
FortiGateは機能上、ADやLDAPなどの認証基盤と深く統合されているため、一度デバイスが侵害されると組織全体への影響が大きい。攻撃者はFortiGateの暗号化された設定ファイルを復号し、「fortidcagent」をはじめとするLDAPサービスアカウントの認証情報を平文で取り出す。取得した認証情報を使ってADに接続し、不正なワークステーションを登録することで、ネットワーク内部への横断的移動(ラテラルムーブメント)を実現している。
別の侵害事例では、攻撃者がPulsewayやMeshAgentといったリモートアクセスツールを展開した後、PowerShellを使ってAWSインフラからJavaマルウェアをダウンロードする手法も確認されている。このマルウェアはDLLサイドローディングで起動し、ADデータベースファイル(NTDS.dit)およびSYSTEMレジストリハイブを外部サーバーへ送信する。
推奨される対策
SentinelOneは以下の対策を推奨している。
- 開示された脆弱性へのパッチを迅速に適用する
- FortiGateのすべてのログをSIEMへ転送し、最低14日間のログ保持期間を確保する
- 不審な管理者アカウントの作成を継続的に監視する
- FortiGateの設定ミスや弱い認証情報を修正する
FortiGateデバイスは多くの組織で境界防御の中核を担っているだけに、デバイス自体が攻撃の起点となるリスクを改めて認識し、パッチ管理と構成管理を徹底することが急務となっている。