Fortinetの脆弱性悪用が増加、企業に迅速な対策と更新適用を促す

Fortinet脆弱性を狙った攻撃事例が増加

FortinetのFortiCloud SSOにおける認証回避の脆弱性を悪用し、ファイアウォールやプロキシ機器への管理者アクセスを試みるサイバー攻撃が増加している。
対象となっているのは CVE-2025-59718 および CVE-2025-59719 で、認証を経ていない攻撃者が細工したSAMLメッセージを用いることで、インターネットに公開されたデバイス上で管理者権限を取得できる可能性があるとされている。

Fortinetは2025年12月9日に本問題を公表し、注意喚起と修正情報を公開した。
また、**CISA**はCVE-2025-59718を「既知の悪用された脆弱性（KEV）」リストに追加しており、実環境での悪用が確認されていることを示している。

FortiCloud SSO設定に伴うリスク

FortiCloud SSOが有効化されている FortiOS、FortiProxy、FortiSwitchManager、FortiWeb などの製品が、主な攻撃対象となっている。
攻撃者は管理者権限の不正取得を足がかりに、バックドア用アカウントの作成や設定ファイルのエクスポートを行い、ハッシュ化された認証情報を窃取する手口を用いているとされる。

**RedditおよびArctic Wolf**の報告によれば、2025年12月以降、FortiGate 7.4.9を含む環境で同様の攻撃パターンが確認されており、オンライン上では2万5,000台を超えるデバイスでSSO機能が有効な状態にあったという。

対応策と脆弱性の継続的リスク

**Fortinetは、CVE-2025-59718およびCVE-2025-59719**に対する修正を提供しているものの、実環境では回避手法を用いた攻撃が継続しているとの指摘が出ている。
同社はFortiOS 7.4.11、7.6.6、8.0.0で問題を解消する計画を示しているが、更新が適用されていない環境では依然としてリスクが残る状況だ。

そのため、当面の暫定策としては、FortiCloud SSO機能を無効化することが最も有効な防御策とされている。
パッチ適用の遅れが攻撃の足がかりとなる事例が相次ぐ中、管理者には設定状況の再確認と迅速な更新対応が求められている。

攻撃者による新たな手法の確認

最近の攻撃は、DigitalOcean、Kaopu Cloud HK、**Cloudflare**に関連するとみられるIPアドレスから発生しており、FortiCloud SSOの経路を通じた細工済みのSAMLレスポンスの利用が共通して確認されている。
攻撃者は認証後、デバイスの設定ファイルをエクスポートして認証情報を取得し、長期的な侵入の足がかりとする手口を用いているという。

**Arctic Wolf**は、2026年1月15日以降、こうした自動化された悪性活動を観測しており、その中にはFortiGateデバイスに対する不正な設定変更が含まれていたと報告している。

企業に求められる警戒と運用上の対応

企業には、FortiCloud SSOの脆弱性を悪用した攻撃を想定し、ファイアウォールおよび関連デバイスの防御体制を見直すことが求められている。
特に、**Fortinet**が提供する最新のセキュリティ更新情報を継続的に確認するとともに、SIEMと連携した管理者権限変更のリアルタイム通知を有効化するなど、監視体制の強化が重要となる。

FortinetはPSIRTチームを通じてフォレンジック調査を継続しており、今後のリリースではログ機能の拡充も予定している。
あわせて、**CISA**のKEVリストやベンダーからの勧告を定期的に確認し、設定や運用の更新を怠らない姿勢が、被害抑止の鍵となりそうだ。