Fortinetの統合セキュリティ情報イベント管理(SIEM)プラットフォームであるFortiSIEMに、極めて深刻な脆弱性「CVE-2025-64155」が発見され、サイバーセキュリティ業界に緊急警報が発令されています。この脆弱性に対する概念実証(PoC)エクスプロイトコードが公開された直後、脅威グループによる活発な悪用が確認されており、組織は即座のパッチ適用を迫られています。この事態は、防御側の「神経系」とも言えるSIEMシステムが、攻撃者にとっての新たな足がかりとなり得ることを示唆しています。
この脆弱性は、認証されていないリモートの攻撃者が、特別に細工されたTCPリクエストを通じて、脆弱なFortiSIEM環境上で不正なコードやコマンドを実行することを可能にします。セキュリティ研究者たちは、この種の脆弱性が企業の防御体制を内部から崩壊させる可能性を指摘しており、その影響は広範囲に及ぶと懸念されています。特に、SIEMシステムは組織全体のセキュリティイベントを監視・分析する中核であるため、その侵害はセキュリティ運用の根幹を揺るがしかねません。
Help Net Securityの報道によると、この脆弱性はHorizon3.aiの研究者Zach Hanley氏によって発見され、Fortinetに非公開で報告されました。Fortinetはその後、影響を受けるすべてのサポート対象バージョンで修正を適用し、今週初めにその存在を公表しました。しかし、PoCの公開とそれに続く実世界での悪用試行の検出は、パッチ適用が遅れる組織にとって壊滅的な結果をもたらす可能性を示しています。
Defusedのような脅威インテリジェンス企業は、PoC公開からわずか数日のうちに、この脆弱性を狙った攻撃の試みをハニーポットで検出したと報告しています。これは、サイバー犯罪者が新たな脆弱性情報をいかに迅速に悪用しようとするかを示す典型的な事例であり、企業がセキュリティアップデートを適用する上での時間的猶予が極めて短いことを浮き彫りにしています。この緊急事態は、組織がセキュリティパッチ管理のプロセスを再評価し、迅速な対応体制を確立することの重要性を改めて強調しています。
脆弱性の深層:FortiSIEMを狙う根深い問題
CVE-2025-64155は、FortiSIEMの「phMonitor」サービスを標的とする深刻な脆弱性です。TenableのシニアスタッフリサーチエンジニアであるScott Caveza氏は、Help Net Securityに対し、「この欠陥はSIEMの『神経系』であるphMonitorサービスを狙い、攻撃者がルートユーザーとして実行されるファイルに任意のコードを書き込むことを可能にし、認証なしのコード実行を達成する」と説明しています。これにより、攻撃者は企業の防御拠点そのものを、内部での横展開のための静かな足がかりに変えることができるのです。
この脆弱性の技術的な本質は、OSコマンドで使用される特殊な要素の不適切な無害化にあります。攻撃者は、特別に細工されたTCPリクエストをphMonitorサービス(ポート7900)に送信することで、この欠陥を悪用できます。Secure-ISSの分析によれば、CVSSスコアは9.4と評価されており、その深刻度が「Critical」であることを明確に示しています。これは、認証なしでリモートからルート権限でのコマンド実行が可能となるため、FortiSIEMのリモートルーティングを許すものとされています。
Horizon3.aiのZach Hanley氏は、以前に修正されたFortiSIEMの欠陥(CVE-2025-25256)を評価している最中に、このCVE-2025-64155を発見しました。CVE-2025-25256は実用的なエクスプロイトコードが実際に確認されていたものの、その悪用が明確な侵害の痕跡(IoC)を残さない可能性があったとFortinetは述べていませんでした。しかし、今回のCVE-2025-64155の悪用は、より明確な痕跡を残すことが期待されており、防御側にとって検出の機会を提供します。
Hanley氏が指摘するように、この脆弱性は近年phMonitorで発見された複数の脆弱性の一つであり、NFSまたはElasticのいずれかのストレージメカニズムが使用される高レベル関数内で発見されました。過去にはCVE-2023-34992やCVE-2024-23108といった類似の脆弱性も存在しており、Fortinetがこれらの問題に対処するための対策を講じてきたにもかかわらず、根本的な問題が残っていた可能性が示唆されています。Fortinetのこれまでの対策は、直接的に脆弱なコンポーネントに焦点を当てており、隣接する攻撃対象領域には十分な注意が払われていなかったとHanley氏は分析しています。
攻撃の連鎖:PoC公開から実戦投入まで
CVE-2025-64155の発見は2025年8月にまで遡りますが、その詳細と概念実証(PoC)が公にリリースされたのは2026年1月に入ってからでした。この時間差は、セキュリティ研究者が責任ある情報開示プロセスを経て、ベンダーがパッチを開発・展開する期間を設けるためのものです。しかし、PoCが公開されると、サイバー犯罪者コミュニティは驚くべき速さでこれに反応し、脆弱性の悪用を試み始めました。
Cybersecurity Diveの報道によれば、PoC公開からわずか数日のうちに、脅威グループがこのFortiSIEMの脆弱性を標的にした悪用を開始したと報じられています。脅威インテリジェンス企業Defusedは、自社のハニーポットでこの脆弱性を狙った攻撃の試みを検出し、その活発な動きを裏付けています。これは、新たな脆弱性が公表された際、その情報が瞬く間に悪用され、実世界での脅威へと転化する現代のサイバー脅威環境の厳しさを物語っています。
このような迅速な悪用は、組織がパッチ管理と脆弱性対応において、いかに迅速かつ効率的である必要があるかを浮き彫りにします。PoCが公開されると、攻撃者にとってエクスプロイトの開発コストが大幅に低下し、より広範な攻撃が可能になります。特に、FortiSIEMのような企業のセキュリティインフラの中核をなすシステムが標的となる場合、その影響は甚大であり、組織の防御能力全体が危険に晒されることになります。
この攻撃の連鎖は、単なる技術的な欠陥以上の意味を持ちます。それは、サイバーセキュリティの「猶予期間」がますます短くなっている現実を突きつけています。脆弱性が発見されてからパッチが適用されるまでの「ウィンドウ」は、攻撃者にとっての「機会」であり、この機会をいかに迅速に閉じるかが、組織のセキュリティレジリエンスを測る重要な指標となっています。今回の事例は、そのウィンドウが今や数日、あるいは数時間単位で閉じられるべきであることを示唆していると言えるでしょう。
脅威アクターの影:Black Bastaの関与と過去の類似事例
このFortiSIEMの脆弱性に対する悪用が活発化する中で、特定の脅威アクターグループの影がちらついています。Cybersecurity Diveの報道によると、研究者たちは、悪名高いランサムウェアグループBlack Bastaが、未公開のチャットログの中でこれらの脆弱性に言及していたことを発見しました。これは、Black Bastaのような洗練された脅威グループが、新たなゼロデイやNデイ脆弱性を常に監視し、自らの攻撃ツールキットに組み込む準備をしていることを示唆しており、今回のFortiSIEMの脆弱性もその標的となり得た可能性が高いことを意味します。
Black Bastaは、その高度な攻撃手法と、被害組織から多額の身代金を強奪してきた実績で知られるグループです。彼らがFortiSIEMのようなセキュリティ監視システムに注目しているとすれば、それは彼らが標的とする企業の防御を無力化し、内部ネットワークでの横展開やデータ窃取をより容易に進めるための戦略の一環であると考えられます。SIEMシステムが侵害されれば、攻撃者は自らの活動を隠蔽し、防御側の検知能力を著しく低下させることが可能となるため、Black Bastaにとって非常に魅力的な標的となり得ます。
Horizon3.aiのZach Hanley氏が指摘するように、CVE-2025-64155はFortiSIEMのphMonitorサービスにおける一連の脆弱性の最新版です。過去にはCVE-2023-34992やCVE-2024-23108といった類似の脆弱性が存在し、これらも同じ高レベル関数内で発見されています。Fortinetはこれらの以前の脆弱性に対して対策を講じてきましたが、Hanley氏は「Fortinetはこれらの種類のバグに対する攻撃対象領域の強化には注意を払ってきたが、その強化は主に直接的に脆弱なコンポーネントに焦点を当てており、隣接する攻撃対象領域には及んでいない」と述べています。
この分析は、ベンダーが特定の脆弱性を修正しても、その根本原因や関連するコードベースの脆弱性が残存し、新たな脆弱性として再浮上するリスクがあることを示しています。Black Bastaのようなグループがこのようなパターンを認識し、継続的にFortinet製品の脆弱性を探索している可能性は十分に考えられます。CISAの既知の悪用済み脆弱性(KEV)カタログには公式には掲載されていないものの、脅威グループが既に注目しているという事実は、その深刻度を物語っています。
影響範囲と検出の兆候:企業が直面するリスク
CVE-2025-64155の影響は、FortiSIEMの特定のバージョンに限定されています。Secure-ISSの勧告によると、影響を受けるFortiSIEMのバージョンは、7.4.0、7.3.0から7.3.4、7.1.0から7.1.8、7.0.0から7.0.4、そして6.7.0から6.7.10です。これらのバージョンを使用している組織は、直ちにアップグレードまたは移行を検討する必要があります。一方で、FortiSIEM Cloud、FortiSIEM 7.5、およびログ取り込みに使用されるコレクターノードは、この脆弱性の影響を受けないことが確認されています。影響を受けるのは、主にSupervisorノードとWorkerノードです。
この脆弱性が悪用された場合、攻撃者はシステム上でルート権限でのコード実行を達成するため、その影響は極めて深刻です。しかし、Horizon3.aiの研究者たちは、CVE-2025-64155の悪用は特定の侵害の痕跡(IoC)を残すと報告しています。防御側は、phMonitorサービスが受信したログを注意深く監視し、疑わしいメッセージを探すことで、攻撃の兆候を検出できる可能性があります。具体的には、`PHL_ERROR`のエントリが含まれ、攻撃者によって提供されたURLや悪意のあるペイロードが書き込まれたファイルパスを含むメッセージがIoCとして挙げられています。
これらのIoCは、組織が侵害の有無を判断し、迅速なインシデント対応を開始するための重要な手がかりとなります。SIEMシステム自体が侵害された場合、通常のログ監視機能が信頼できない状態になる可能性があるため、これらの特定のログエントリをオフラインで分析するか、別のセキュリティツールでクロスチェックすることが推奨されます。また、phMonitorポート(7900)へのアクセスを制限するなどの暫定的な対策も、パッチ適用までのリスクを軽減するために有効です。
企業は、自社のFortiSIEM環境が影響を受けるバージョンであるかどうかを迅速に確認し、もし該当する場合は、提供されたIoCに基づいて過去のログを遡って調査することが不可欠です。この脆弱性は、企業のセキュリティ監視の中枢を狙うものであるため、その悪用は広範なシステム侵害の足がかりとなり、機密データの窃取やランサムウェア攻撃へと発展する可能性を秘めています。したがって、検出されたIoCは、単なる警告ではなく、即座の行動を促すトリガーとして認識されるべきです。
Fortinet製品群に広がる脅威:もう一つの深刻な脆弱性
今回のFortiSIEMの脆弱性(CVE-2025-64155)の公表と同時に、Fortinet製品群にはもう一つの深刻な脆弱性「CVE-2025-25249」が存在することが明らかになりました。Secure-ISSのSOCアドバイザリによると、この脆弱性はFortiOSおよびFortiSwitchManagerに影響を与え、CVSSスコア7.4の「High」と評価されています。これは、Fortinet製品を使用する広範な組織にとって、二重の脅威が存在することを示唆しています。
CVE-2025-25249は、FortiOSおよびFortiSwitchManagerの`cw_acd`デーモンにおけるヒープベースのバッファオーバーフローの欠陥です。この脆弱性を悪用することで、リモートの認証されていない攻撃者は、特別に細工されたリクエストを介して任意のコードやコマンドを実行することが可能になります。バッファオーバーフローは、メモリ管理の不備に起因する古典的な脆弱性であり、攻撃者によって悪用されると、システムの制御を奪取したり、サービス拒否(DoS)状態を引き起こしたりする可能性があります。
影響を受けるバージョンは、FortiOSでは7.6.0から7.6.3、7.4.0から7.4.8、7.2.0から7.2.11、7.0.0から7.0.17、そして6.4.0から6.4.16と広範囲にわたります。FortiSwitchManagerでは、7.2.0から7.2.6、7.0.0から7.0.5が影響を受けます。これらのバージョンを使用している組織は、CVE-2025-64155と同様に、迅速な対応が求められます。
この二つの脆弱性がほぼ同時に公表されたことは、Fortinet製品のユーザーにとって、パッチ管理の複雑性と緊急性を増大させます。特に、FortiSIEMとFortiOSは多くの企業で連携して使用されていることが多いため、両方のシステムに存在する脆弱性が複合的なリスクを生み出す可能性があります。攻撃者は、一方の脆弱性を足がかりに、もう一方のシステムへと横展開を図ることも考えられ、多層的な防御戦略の重要性が改めて浮き彫りになっています。
緊急対応と防御戦略:企業に求められる迅速な行動
FortiSIEMのCVE-2025-64155とFortiOS/FortiSwitchManagerのCVE-2025-25249という二つの深刻な脆弱性に対し、企業は迅速かつ断固たる行動を取る必要があります。Fortinetは既に修正済みのバージョンをリリースしており、最も効果的な対策は、影響を受けるすべてのシステムを直ちに最新の修正済みバージョンにアップグレードすることです。FortiSIEMの場合、v7.4.1以上、7.3.5以上、7.2.7以上、または7.1.9以上へのアップグレードが推奨されています。また、FortiSIEM 7.0.xまたは6.7.xを使用している場合は、修正済みリリースへの移行が不可欠です。
FortiOSのユーザーは、7.6.4、7.4.9、7.2.12、7.0.18、6.4.17以降のバージョンにアップグレードする必要があります。FortiSwitchManagerについては、7.2.7または7.0.6以降へのアップグレードが推奨されています。これらのパッチは、既知の脆弱性を悪用した攻撃からシステムを保護するための最前線となります。パッチ適用は、サイバーセキュリティ対策の基本であり、特にPoCが公開され、実世界での悪用が確認されている状況では、その緊急性は最高レベルに達します。
アップグレードが直ちに不可能な場合、Fortinetおよびセキュリティ研究者は、いくつかの暫定的な回避策を提示しています。CVE-2025-64155に対しては、phMonitorポート(7900)へのアクセスを制限することが有効です。これは、ファイアウォールルールを設定し、信頼できるIPアドレスからのアクセスのみを許可することで実現できます。CVE-2025-25249に対しては、「fabric」アクセスをインターフェースから削除するか、CAPWAP-CONTROLアクセスをポート5246-5249でブロックすることが推奨されています。これらの回避策は、一時的ながら攻撃対象領域を縮小し、悪用のリスクを軽減するのに役立ちます。
しかし、これらの回避策はあくまで一時的なものであり、恒久的な解決策はパッチの適用に他なりません。企業は、これらの脆弱性がもたらす潜在的なリスクを深く理解し、ITチームとセキュリティチームが連携して、緊急のパッチ適用計画を実行する必要があります。また、提供されたIoCに基づいて、既存のシステムログを徹底的に調査し、既に侵害が発生していないかを確認することも極めて重要です。この一連の対応は、組織のサイバーレジリエンスを試す重要な試練となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -PoC exploit for critical FortiSIEM vulnerability released (CVE-2025-64155) - https://www.helpnetsecurity.com/2026/01/15/fortisiem-vulnerability-cve-2025-64155-poc-exploit/
- -Critical flaw in Fortinet FortiSIEM targeted in exploitation threat - https://www.cybersecuritydive.com/news/critical-flaw-in-fortinet-fortisiem-targeted-in-exploitation-threat/809863/
- -SOC Advisory: Fortinet FortiSIEM & FortiOS Critical Vulnerabilities - 14 Jan 2026 - https://secure-iss.com/soc-advisory-fortinet-fortisiem-fortios-critical-vulnerabilities-14-jan-2026/