2025年12月9日、FortinetはFortiOS、FortiWeb、FortiProxy、FortiSwitchManagerに影響を与える2件の認証バイパス脆弱性(CVE-2025-59718、CVE-2025-59719)に関する重大なセキュリティアドバイザリを公開しました。これらの脆弱性は、FortiCloud SSOのログインプロセスにおける暗号署名検証の不備を悪用することで、認証されていない攻撃者が管理者権限を取得できてしまう点が問題となっています。
公開から数日後には、すでに実環境での悪用が報告され、CISAはこれらの脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加しました。本事案は、Fortinet製品において繰り返し見られるパターン―インターネットに露出した管理インターフェースや、長年放置されがちな設定不備が、企業全体の侵害につながる入口となる―を改めて浮き彫りにしています。本記事では、これらの脆弱性がもたらす技術的リスクを分析するとともに、なぜ組織がAttack Surface Management(ASM)を起点とした防御戦略へと転換する必要があるのかについて解説します。
FortiCloud SSO認証バイパス脆弱性概要
- CVE-2025-59718
- 影響を受ける製品: FortiOS, FortiProxy, FortiSwitchManager
- CVE-2025-59719
- 影響を受ける製品: FortiWeb
これら2件の脆弱性はいずれも、SAMLレスポンスメッセージにおける暗号署名の検証不備に起因しています。特別に細工されたSAMLメッセージを送信することで、認証されていない攻撃者が通常の認証フローを経ることなく、管理者セッションを取得できてしまいます。
Fortinetは、FortiCloud SSOログイン機能が工場出荷時の設定では無効になっていると説明しています。しかし、運用上の重要なポイントとして、攻撃対象領域を大きく拡張してしまう要因が存在します。具体的には、GUIを通じてデバイスをFortiCareに登録した場合、管理者が「Allow administrative login using FortiCloud SSO(FortiCloud SSOを使用した管理者ログインを許可)」オプションを明示的に無効化しない限り、FortiCloud SSOログイン機能が自動的に有効化される可能性があります。
その結果、SSOベースの管理機能を意図的に導入していない場合であっても、多くの組織が知らないうちに本脆弱性の悪用条件を満たしてしまっている可能性があります。
観測された攻撃フローと影響
攻撃者は2025年12月12日頃から、機会主義的なスキャンおよび悪用を開始していました。確認されている攻撃フローは、おおむね以下の手順で進行します。
- 外部に露出した管理インターフェースの特定: 攻撃者は、GUIに到達可能なFortinet製品を対象に、公開インターネット上でスキャンを実施します。
- 認証バイパス: 管理者アカウントのエンドポイントに対して、細工されたSAMLメッセージを送信します。
- 設定情報の持ち出し: アクセスに成功すると、攻撃者はGUIを通じてデバイスの設定ファイルを即座にエクスポートします。
- 認証情報のクラック: 設定ファイル内のパスワードはハッシュ化されていますが、攻撃者はオフラインの辞書攻撃を実施し、弱い認証情報を解読します。その結果、初期の脆弱性が修正された後も、持続的なアクセスが可能となるケースがあります。
なお、2025年12月22日時点でも、修正パッチが公開されているにもかかわらず、400件以上の資産がCVE-2025-59718に対して依然として脆弱な状態にあることが確認されています。
https://www.criminalip.io/ja/asset/search?query=cve_id%3ACVE-2025-59718
Fortinetのエッジ脆弱性が繰り返し悪用される理由
FortiCloud SSOの認証バイパスは、単発の事案ではありません。近年のFortinet製品に関する脆弱性は、公開 → 悪用手法の急速な出現 → 外部に露出したエッジデバイスを狙った攻撃という同様のパターンを繰り返しています。
多くのケースにおいて、根本的な原因は脆弱性そのものだけでなく、外部に公開された管理サービスと、運用環境における設定ドリフトが組み合わさる点にあります。
実際の複数のインシデントを通じて、攻撃者は一貫して外部から到達可能なエッジインフラを優先的に標的としており、露出した管理アクセスを、初期侵入を確立するための摩擦の少ない手段として悪用しています。
脆弱性認知から攻撃対象領域の可視化へ
従来の脆弱性管理は、影響を受けるバージョンを特定し、パッチを適用することに重点を置いてきました。しかし、このアプローチは、脆弱性公開時点でどの資産が外部から到達可能であるかを正確に把握できていることを前提としています。
実際には、悪用が進行している状況下で、多くのセキュリティチームが「どの管理インターフェースが実際に外部に露出し、悪用可能なのか」を迅速に判断できず、脆弱性の認知と現実のリスクとの間にギャップが生じています。
Attack Surface Management(ASM)は、攻撃者の視点から外部に露出している資産を継続的に特定することで、この課題に対応します。FortiCloud SSOの認証バイパスの文脈において、ASM主導のアプローチを採用することで、セキュリティチームはFortinetの管理インターフェースやSSO関連エンドポイントがインターネットから到達可能かどうかを検証できます。さらに、露出条件と既知の脆弱性を関連付け、仮定ではなく実際の露出状況に基づいて是正対応の優先順位を判断することが可能になります。
Fortinetエッジインフラに関連する主要なASM機能
FortiCloud SSO認証バイパスのようなインシデントでは、攻撃者は脆弱性そのものだけに依存していたわけではありません。公開後も残存していた外部に露出した管理インターフェースや設定不備に着目し、攻撃を成立させています。以下の4つのASM機能は、Fortinet関連リスクの低減において特に重要です。
- 新たに露出した資産の継続的な検出
- 新規に露出した、または変更されたFortinet資産を自動的に検出し、設定変更や運用上の変化によってインターネット到達可能となった管理インターフェースを、セキュリティチームが迅速に把握できるようにします。
- 露出した管理インターフェースの特定
- 外部からアクセス可能なFortinetの管理GUI、VPNポータル、SSO関連エンドポイントを、初期侵入に最も狙われやすい高リスクな入口点として特定します。
- 外部露出と既知の脆弱性の相関分析
- 外部に露出しているFortinet資産を関連するCVEと結び付けることで、理論上の深刻度ではなく、実際の悪用可能性に基づいた優先順位付けを可能にします。
- 是正対応の有効性検証
- パッチ適用や設定変更が、実際に外部露出を低減できているかをASMで検証し、是正後も管理インターフェースが攻撃者から到達不能な状態に保たれていることを確認します。
FAQ
Q1. FortiCloud SSOはデフォルトで無効なのに、なぜこれらの脆弱性は今も悪用されているのですか?
FortiCloud SSOは工場出荷時の設定では無効になっていますが、実運用環境は必ずしもデフォルト設定のままとは限りません。FortiCareへの登録作業や日常的な管理運用の過程で、管理者が明示的に無効化しない限り、FortiCloud SSOログイン機能が意図せず有効化されるケースがあります。
その結果、管理インターフェースが外部に露出したままの環境では、多くの組織が気付かないうちに本脆弱性の悪用条件を満たしてしまっているのが実情です。
Q2. 公式パッチを適用した後でも、ASMは必要なのでしょうか?
はい、必要です。パッチ適用は本質的にリアクティブな対策であり、特定時点で既知となっている脆弱性への対応に限られます。一方、Attack Surface Management(ASM)は外部露出の状況を継続的に可視化し、設定ドリフトの発生や、運用変更・メンテナンス作業・将来のゼロデイ脆弱性によって管理インターフェースが再び外部に露出していないかを継続的に確認することを可能にします。これにより、実環境に即した持続的なリスク管理が実現できます。
結論
FortiCloud SSO認証バイパス(CVE-2025-59718 / 59719)は、現代のサイバーセキュリティが単なるパッチ管理にとどまるべきではないことを示す代表的な事例です。重大なソフトウェアの欠陥と、意図しない外部露出が交差することで、攻撃者にとって極めて高リスクな環境が生まれ、迅速に悪用されてしまいます。
Attack Surface Management(ASM)主導の防御へと移行することで、組織は未管理の管理インターフェースを特定し、設定ドリフトを是正するための可視性を獲得できます。これにより、脅威アクターに発見される前に問題を把握し、対処することが可能になります。ネットワークエッジの保護は、もはやファイアウォールの強度だけの問題ではありません。エッジがどこに存在するのかを正確に把握し、不必要に露出していないことを保証することが重要です。
なお、関連してアサヒGHDランサムウェア侵害事件:VPN悪用の実態と ASM による予防戦略 もご参照ください。
Attack Surface Managementのデモを通じて、貴社環境における外部露出の状況をご確認いただけます。下のボタンからぜひお問い合わせください。
データソース: Criminal IP (https://www.criminalip.io/ja), BLEEPINGCOMPUTER (https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-forticloud-sso-login-auth-bypass-flaws/)