ウェブアプリケーションファイアウォール(WAF)のFortiWebに、新たなゼロデイ脆弱性が発見されたというニュースは、セキュリティ業界に衝撃を与えました。Fortinetが発表したセキュリティアドバイザリによると、この脆弱性(CVE-2025-58034)は、OSコマンドインジェクションの脆弱性であり、認証された攻撃者がHTTPリクエストまたはCLIコマンドを悪用して、システム上で不正なコードを実行できるとのことです。
この脆弱性の発見は、Trend MicroのTrend Researchチームに所属するJason McFadyen氏によるもので、その重要性から直ちに公表されました。Fortinet自身も、この脆弱性が実際に悪用されていることを確認しており、早急な対応が求められています。特に、認証された攻撃者であれば、ユーザーの操作を必要としない、比較的容易な攻撃でコード実行が可能になる点が、この脆弱性の危険性を高めています。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この脆弱性を「Known Exploited Vulnerabilities Catalog」に追加し、連邦政府機関に対し、Binding Operational Directive(BOD)22-01に基づき、11月25日までにシステムを保護するよう命令しました。CISAは、この種の脆弱性が悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦政府機関に重大なリスクをもたらすと警告しています。
Fortinetの脆弱性がサイバーエスピオナージやランサムウェア攻撃に悪用される事例は過去にも発生しており、今回のゼロデイ脆弱性の発見は、組織にとって深刻な脅威となります。過去には、中国のハッキンググループ「Volt Typhoon」がFortiOS SSL VPNの脆弱性を悪用し、オランダ国防省の軍事ネットワークに侵入した事例も報告されています。
FortiWebの脆弱性CVE-2025-58034の詳細と影響
CVE-2025-58034は、FortiWebにおけるOSコマンドインジェクションの脆弱性であり、認証された攻撃者が、細工されたHTTPリクエストまたはCLIコマンドを通じて、基盤となるシステム上で不正なコードを実行できるものです。Fortinetは、この脆弱性が実際に悪用されていることを確認しており、その危険性を強調しています。Trend Microの研究チームは、この脆弱性の詳細な分析結果を公開しており、攻撃者がこの脆弱性を悪用してroot権限でコードを実行できることを明らかにしています。
脆弱性の根本原因は、`policy_scripting_post_handler`メソッドの実装における、ユーザーが提供した文字列の検証不足にあります。攻撃者は、この脆弱性を悪用して、rootのコンテキストでコードを実行することが可能です。この脆弱性の悪用には、ユーザーの操作は不要であり、攻撃の複雑さも低いことから、広範囲にわたる攻撃が発生する可能性が懸念されています。
影響を受けるFortiWebのバージョンは、8.0.0から8.0.1、7.6.0から7.6.5、7.4.0から7.4.10、7.2.0から7.2.11、7.0.0から7.0.11です。これらのバージョンを使用している組織は、直ちに最新バージョンにアップグレードする必要があります。Fortinetは、各バージョンに対応した修正版をリリースしており、迅速な対応を推奨しています。
この脆弱性の悪用が成功した場合、攻撃者はシステムを完全に制御し、機密情報の窃取、マルウェアのインストール、システムの破壊など、さまざまな悪意のある活動を実行できます。特に、政府機関や重要インフラを運営する組織にとって、この脆弱性は国家安全保障に関わる重大なリスクとなります。
CISAの緊急命令とその背景
CISAが連邦政府機関に対し、7日以内の修正を命令した背景には、この脆弱性の悪用がすでに確認されているという事実があります。CISAは、Binding Operational Directive(BOD)22-01に基づき、連邦政府機関に対し、既知の悪用された脆弱性に対する迅速な対応を義務付けています。今回の命令は、CVE-2025-58034の危険性と、その悪用による潜在的な影響を考慮した結果です。
CISAは、過去にもFortinet製品の脆弱性に対し、同様の緊急命令を発令しています。これは、Fortinet製品が政府機関や重要インフラで広く利用されており、その脆弱性が国家安全保障に重大な影響を与える可能性があるためです。CISAは、連邦政府機関に対し、脆弱性管理の徹底と、最新のセキュリティパッチの適用を強く求めています。
CISAの命令は、連邦政府機関だけでなく、すべての組織にとって重要な警鐘となります。サイバー攻撃者は、常に新たな脆弱性を探し、悪用する機会を伺っています。組織は、自社のシステムで使用しているソフトウェアやハードウェアの脆弱性情報を常に把握し、迅速に対応する必要があります。
今回のCISAの命令は、サイバーセキュリティにおける官民連携の重要性を示すものでもあります。政府機関と民間企業が協力し、脅威情報を共有し、脆弱性に対する迅速な対応を行うことで、サイバー攻撃のリスクを軽減することができます。
過去のFortinet製品の脆弱性と攻撃事例
Fortinet製品の脆弱性が悪用された事例は、過去にも多数報告されています。2025年10月には、FortiWebの別のゼロデイ脆弱性(CVE-2025-64446)が、サイレントパッチで修正されました。この脆弱性は、インターネットに公開されたデバイス上で、攻撃者が管理者レベルのアカウントを作成するために悪用されました。また、2025年8月には、FortiSIEMのコマンドインジェクション脆弱性(CVE-2025-25256)が修正されました。
これらの事例は、Fortinet製品がサイバー攻撃者にとって魅力的な標的であることを示しています。Fortinet製品は、ネットワークの境界に位置し、組織のセキュリティを保護する重要な役割を担っています。そのため、その脆弱性が悪用されると、組織全体に深刻な影響が及ぶ可能性があります。
2023年には、中国のハッキンググループ「Volt Typhoon」が、FortiOS SSL VPNの脆弱性(CVE-2022-42475およびCVE-2023-27997)を悪用し、オランダ国防省の軍事ネットワークに侵入しました。この攻撃では、「Coathanger」と呼ばれるカスタムリモートアクセス型トロイの木馬(RAT)が使用されました。
これらの事例から、Fortinet製品の脆弱性に対する迅速な対応が、組織のセキュリティを維持するために不可欠であることがわかります。組織は、Fortinetが提供するセキュリティアドバイザリを常に確認し、最新のパッチを適用する必要があります。
組織が取るべき対策と今後の展望
今回のFortiWebのゼロデイ脆弱性の発見を受け、組織は以下の対策を講じる必要があります。まず、影響を受けるFortiWebのバージョンを使用している場合は、直ちに最新バージョンにアップグレードしてください。Fortinetは、各バージョンに対応した修正版をリリースしています。
次に、FortiWebの設定を見直し、不要な機能を無効化してください。特に、外部からのアクセスを許可する必要のない機能は、無効化することで攻撃対象領域を縮小することができます。また、FortiWebのログを定期的に監視し、不審なアクティビティがないか確認してください。
さらに、WAFだけでなく、多層防御のアプローチを採用し、ネットワーク全体でセキュリティ対策を強化してください。ファイアウォール、侵入検知システム、エンドポイントセキュリティなど、複数のセキュリティ対策を組み合わせることで、攻撃のリスクを軽減することができます。
今後は、ソフトウェアサプライチェーンのセキュリティ対策がますます重要になります。組織は、自社で使用しているソフトウェアの脆弱性情報を常に把握し、迅速に対応する必要があります。また、ソフトウェア開発者は、セキュリティを考慮した開発プロセスを導入し、脆弱性のないソフトウェアを開発する必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Fortinet warns of new FortiWeb zero-day exploited in attacks - https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-fortiweb-zero-day-exploited-in-attacks/
- -CISA gives govt agencies 7 days to patch new Fortinet flaw - https://www.bleepingcomputer.com/news/security/cisa-gives-govt-agencies-7-days-to-patch-new-fortinet-flaw/