2026年6月、ヴォロディミル・“ボブ”・ディアチェンコというセキュリティ研究者が、インターネット上に無防備に公開されていたサーバーを発見した。その中にはあるリストがあった。盗まれたファイルでも、malwareなかった。何万社もの企業の「玄関口」に設置されたファイアウォールで、実際に使用可能なユーザー名とパスワードのリストだった。
6月19日時点で、そのリストには194カ国にまたがる約86,644台のフォーティネット製デバイスが含まれていました。これは、インターネットからアクセス可能なすべてのフォーティネット製ファイアウォールの約半分に相当します。以前の報道ではその数は73,932台とされていましたが、研究者による集計が進むにつれてその数は増加しました。この攻撃キャンペーンには現在、「FortiBleed」という名称が付けられています。
ファイアウォールとは、企業のネットワークへの出入りを許可する対象を決定する装置です。その多くは、従業員が自宅からログインするために使用する暗号化されたトンネルであるVPNも稼働させています。つまり、これらは単なる脇役的な機器ではありません。まさに「正面玄関の鍵」そのものです。そして、その大部分に対して、実際に機能する鍵の一覧が誰かによって作成されてしまったのです。
修正すべきバグはありません
セキュリティに関する記事の多くは、同じアドバイスで締めくくられています。「ベンダーが脆弱性を発見し、パッチを公開したので、それをインストールしてください」というものです。これらの脆弱性にはそれぞれCVE番号が割り当てられており、誰でもその追跡が可能です。
FortiBleedにはCVE番号がありません。フォーティネットのソフトウェアに不具合はありませんでした。誰も無理やり侵入したわけではありません。単に鍵がコピーされただけです。
その仕組みを平易に説明しましょう。ロシア語圏の犯罪フォーラムで広告を出していた「SantaAd」というグループは、インターネットに公開されているフォーティネット製デバイスに対して、10億回以上のログイン試行を行いました。彼らは大規模にパスワードを推測し、過去の情報漏洩事件で流出したパスワードを再利用し、この作業専用に構築されたグラフィックカード群を用いて暗号化されたパスワードファイルを解読しました。そして、最も重要なステップとして、実際に有効な鍵を特定し、それらだけを保持したのです。
つまり、その結果は単なる理論上のリスクではありません。実際に扉を開けることが実証された一連のログイン情報なのです。
認証に成功しました
ほとんどの防御策は、誰かが無理やり侵入しようとするのを検知するように設計されています。間違ったパスワード、ブロックされた侵入試行、アラームを鳴らすmalware 。しかし、FortiBleedでは、そうした兆候は一切発生しません。
攻撃者が本物のパスワードを使ってログインすると、システムは本来の目的通りに動作します。つまり、攻撃者をシステム内に受け入れます。そのログインは、あなたのログインと全く同じように見えます。ユーザー名の種類も、セッションの種類も同じで、同じ方法で同じ場所に記録されます。誰がいつログインしたかを記録した監査ログには、通常通り正常にログインが成功したことが示されます。デバイスから見て何の問題も起きていないため、警告は発せられません。監査ログは、攻撃者のログインを問題なく通過させてしまったのです。
これが、私が最も頻繁に取り上げるセキュリティ上の死角です。「誰かが侵入した」というわけではありません。誰かがログインし、その記録には「ログイン成功」と残っています。正しいパスワードは、たとえそれを入力したのがオークションでアカウントを購入した見知らぬ人であっても、本人確認の証拠として扱われてしまうのです。
1つの鍵が、何度も売れた
ほとんどの報道が見落としているもう一つの意外な展開があり、それはセキュリティ担当責任者たちが最も懸念すべき点である。
SantaAdは単に鍵を集めただけではありませんでした。彼らは、被害を受けた各企業の売上高に応じて鍵を分類し、それらを競売にかけました。売上高の高い企業は、プレミアムな標的として提供されました。
これにより、問題の性質が変わってきます。アクセス権がオークションで売買される場合、同じ有効な鍵が複数の異なる犯罪組織によって同時に購入される可能性があります。その結果、ある企業では、互いに関係のない複数の侵入者が、同じファイアウォールへの有効なログイン権限を同時に保持することになり、それぞれが問題なくログインし、完全に正当なユーザーのように見えることになります。標的が選ばれたのは、あなたの防御体制を分析したハッカーによるものではなく、価格表によって決定されたのです。
なぜ従来の対策では不十分なのか
情報漏洩に対する標準的な対応策は、この状況では期待したほどの効果を発揮しない。
これに対してパッチを当てることはできません。なぜなら、何も壊れていないからです。パスワードのリセットは有効ですが、それはどの認証情報が流出したかを知っている場合に限られ、かつ、それらが使用されているすべての場所で一つ残らずリセットした場合に限られます。一つでも見落とせば、そのログインは依然として有効なままです。CISAはフォーティネットの顧客に対し、認証情報のローテーションとアクセス権限の見直しを強く推奨しており、これは正しい判断ですが、完全には把握できないリストとの手作業による駆け引きに他なりません。
もうひとつ注意点があります。ファイアウォールは密閉型の装置です。ノートパソコンのように、ウイルス対策ソフトや監視エージェントをインストールすることはできません。つまり、攻撃者を侵入させてしまったその装置は、内部から監視される仕組みが一切ない装置でもあるのです。
実際にそれを見られる場所
ログイン自体に異常が見られず、デバイス自体が自身の動作を監視できない場合、この問題を検知すべきタイミングはサインインの瞬間ではありません。サインイン後に起こるすべての事象が対象となります。
盗まれた鍵は、そのドアを開けることができることを証明するに過ぎない。しかし、そこに住む人々がどのように振る舞うかを泥棒に教えるわけではない。本物のアカウントは、見慣れた場所から、見慣れた時間にログインし、見慣れた操作を行う。一方、借りたアカウントは、やがてそうはならなくなる。予期せぬ場所から、不自然な時間帯に接続し、本物のユーザーが決して触れないシステムにアクセスしようとする。その振る舞いこそが、パスワードでは偽装できない部分なのだ。
これは、有効なアカウントがログインできたかどうかだけでなく、そのアカウントがどのような動作をするかを監視する場合の話です。ログイン処理は常に「成功」と表示され続けます。そのアカウントが次に何をするかによって、真相が明らかになるのです。
今週の予定
平易な言葉で、実用的な質問を3つ挙げます:
まず、Fortinetのログインについては、サインイン後の動作が監視されているのでしょうか、それともパスワードが正しいかどうかだけが確認されているのでしょうか? ほとんどの監視システムは、ログイン失敗を検知するように設定されています。一方、FortiBleedはログインに成功するケースを生み出します。
第二に、見慣れない場所からのログインに成功した場合、誰かがそれに気づくでしょうか?ここで重要なのはその兆候であり、失敗件数の急増ではありません。
第三に、ファイアウォールやVPNの認証情報を定期的に更新し、それらのパスワードが他の場所で再利用されていないことを確認しましたか? コピーされた鍵は、すべてのコピーが機能しなくなった時点で初めて無効化されます。
FortiBleedは、厳密にはフォーティネットに関する話ではありません。これは、パッチでは防ぎきれない唯一の要素が「有効なログイン」であることを改めて思い起こさせるものです。検知機能に不具合があるわけではありません。ただ、その機能は不完全であり、欠けている部分は、認証が成功した後に何が起こるかという点なのです。
---
これは「Mind Your Attack Gaps」フレームワークにおける「ギャップ2」です:認証に成功するケースです。有効な認証情報を使った攻撃がどのように予防策をすり抜けるかについての詳細な解説については、 電子書籍の「ギャップ2」の章をご覧ください。