Fortinet機器狙うパスワードスプレー攻撃を確認、約7万5,000台が対象

Fortinet機器対象の認証攻撃を確認、約7万5,000台に影響

Fortinetファイアウォールを対象とした大規模な認証攻撃が確認されている。調査によると、世界中で約75,000台の機器が関連する活動の影響範囲として確認された。

分析では、攻撃者が企業アカウントの認証情報を取得し、一部の環境でネットワークへのアクセスにつながった事例が報告されている。影響を受けた組織にはFoxconn、Samsung、Comcast、Siemens、Lenovo、FedExなどが含まれていた。

研究者によると、攻撃者はHashtopolisを利用してSSL VPN認証情報の解析を試みていた。また、世界各地で30,000台以上のFortinet機器が認証情報収集活動の対象となっていたことも確認されている。

さらに、攻撃では自動化ツールが利用されており、取得した認証情報の有効性確認や追加情報の収集が行われていた。調査では、ロシア語を使用する活動主体による運用の痕跡も確認されており、一部の活動ではNATO加盟国の組織が対象に含まれていた。

今回の事例は、Fortinet機器を対象とした認証情報収集およびアクセス試行活動として報告されており、関連するインフラや攻撃手法について分析が続けられている。

FortiSandboxの脆弱性悪用を確認、CVE-2026-39808・39813が標的

FortinetのFortiSandbox製品で2026年4月に公開された2件の脆弱性（CVE-2026-39808、CVE-2026-39813）を対象とした攻撃活動が確認されている。調査によると、これらの脆弱性を利用したアクセス試行や関連活動が観測されている。

分析では、今回の活動に対象環境の確認や情報収集などの偵察行為が含まれていたことが報告されている。研究者らは、これらの活動が後続の攻撃に関連する可能性について継続的に分析を進めている。

Defusedによると、関連する攻撃活動は複数の国で確認されている。また、活動パターンの分析から、複数の運用主体がそれぞれ独立して活動している可能性も指摘されている。

さらに、調査対象となったFortinet機器では、管理者アカウントや認証設定に関連する事例も確認された。分析では、侵害後のアクセス状況や認証情報の利用状況について調査が行われている。

SOCRadarは今回の事例に関連し、認証情報や管理インターフェースの運用状況について言及している。今回のケースは、FortiSandboxの脆弱性を対象とした攻撃活動および偵察行為の事例として報告されている。