サイバーセキュリティの世界では、防御側と攻撃側の絶え間ない攻防が繰り広げられていますが、最近、ウェブアプリケーションファイアウォール(WAF)の主要ベンダーであるFortinetの製品が、再び深刻なゼロデイ攻撃の標的となっています。2025年11月18日、FortinetはFortiWeb製品に存在する新たなゼロデイ脆弱性「CVE-2025-58034」に対するセキュリティアップデートを緊急リリースしました。この脆弱性は、すでに実際の攻撃で悪用されていることが確認されており、その影響は広範囲に及ぶ可能性を秘めています。
この事態を受けて、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、翌11月19日には連邦政府機関に対し、この脆弱性への対応を厳命する異例の措置を取りました。CISAは、連邦政府機関がシステムのセキュリティを確保するための期限をわずか一週間と設定し、その緊急性を浮き彫りにしています。WAFは、ウェブアプリケーションを様々なサイバー攻撃から保護する最前線の防御策であり、そのWAF自体がゼロデイ攻撃の標的となることは、組織にとって極めて深刻な脅威を意味します。
BleepingComputerの報道によれば、この脆弱性はTrend MicroのTrend Researchチームに所属するJason McFadyen氏によって報告されました。同氏のチームは、この脆弱性を悪用した攻撃が実際に進行中であることを確認しており、これまでに約2,000件もの検出事例を観測しているとBleepingComputerに伝えています。この数字は、攻撃がすでに広範に展開されていることを示唆しており、FortiWebを利用するあらゆる組織にとって、迅速な対応が不可欠であることを強調しています。
今回のゼロデイ脆弱性「CVE-2025-58034」は、OSコマンドインジェクション(CWE-78)に分類される深刻な欠陥です。Fortinetの発表によれば、認証済みの攻撃者が細工されたHTTPリクエストやCLIコマンドを介して、基盤となるシステム上で不正なコードを実行できる可能性があります。この攻撃は、ユーザーの操作を必要とせず、低い複雑度で実行可能であるため、攻撃者にとって非常に魅力的な標的となります。
Trend Microの研究チームは、この脆弱性の具体的な技術的詳細についても言及しています。それによると、問題はFortiWebの「policy_scripting_post_handler」メソッドの実装内に存在し、ユーザーが提供する文字列をシステムコール実行に使用する前に、適切な検証が欠如していることに起因するとされています。この不備を悪用することで、攻撃者はroot権限でコードを実行する能力を獲得し、システムを完全に掌握する危険性があります。これは、WAFのセキュリティモデルの根幹を揺るがす事態と言えるでしょう。
Fortinetは、この脆弱性に対処するため、複数のFortiWebバージョンに対する緊急パッチをリリースしています。具体的には、FortiWeb 8.0の8.0.0から8.0.1のバージョンは8.0.2以降へ、7.6の7.6.0から7.6.5のバージョンは7.6.6以降へ、7.4の7.4.0から7.4.10のバージョンは7.4.11以降へ、7.2の7.2.0から7.2.11のバージョンは7.2.12以降へ、そして7.0の7.0.0から7.0.11のバージョンは7.0.12以降へのアップグレードが推奨されています。これらのパッチの適用は、進行中の攻撃を阻止するための最も直接的かつ効果的な手段となります。
今回の「CVE-2025-58034」の公表に先立ち、Fortinetは別のFortiWebゼロデイ脆弱性「CVE-2025-64446」を密かにパッチ適用していたことが明らかになっています。この脆弱性は、脅威インテリジェンス企業Defusedが活発な悪用を最初に報告してから3週間後の10月28日に、Fortinetによってサイレントパッチが適用されました。Defusedの報告によると、攻撃者はHTTP POSTリクエストを利用して、インターネットに公開されているデバイス上に新たな管理者レベルのアカウントを作成していたとされています。
この「CVE-2025-64446」についても、CISAは連邦政府機関に対し、迅速な対応を求めていました。CISAは、11月19日の週の金曜日(おそらく11月15日)にこの脆弱性を「既知の悪用された脆弱性カタログ」に追加し、米連邦政府機関に対し11月21日までにシステムを保護するよう命令を出しています。立て続けにFortiWeb製品でゼロデイ脆弱性が発見され、しかも一方は密かにパッチが適用されていたという事実は、Fortinet製品のユーザー、特に政府機関にとって、セキュリティに対する懸念を一層高めるものとなっています。
CISAは、今回の「CVE-2025-58034」を11月19日に「既知の悪用された脆弱性カタログ」に追加し、連邦政府行政機関(FCEB)に対し、拘束力のある運用指令(BOD)22-01に基づき、11月25日火曜日までにシステムを保護するよう命じました。この指令は、連邦政府機関がサイバーセキュリティ上のリスクに迅速に対応することを義務付けるものであり、今回のゼロデイ攻撃の深刻さを物語っています。
CISAは、「この種の脆弱性は悪意あるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府の事業に重大なリスクをもたらす」と警告しています。さらに、「最近および継続的な悪用事象を考慮し、1週間の短縮された修正期間が推奨される」と付け加え、これは「CVE-2025-64446」を含む複数のFortiWebの脆弱性が活発に悪用されている状況を指しています。政府機関は、これらの期限内にパッチ適用を完了させるため、緊急の対応が求められています。
Fortinet製品がゼロデイ攻撃の標的となるのは、今回が初めてではありません。今年8月には、Fortinetのセキュリティ監視ソリューションであるFortiSIEMに存在する別のコマンドインジェクション脆弱性「CVE-2025-25256」がパッチ適用されました。このパッチは、サイバーセキュリティ企業GreyNoiseがFortinet SSL VPNを標的としたブルートフォース攻撃が急増していると報告した翌日にリリースされたものです。この脆弱性には、すでに公開されたエクスプロイトコードが存在しており、攻撃者による悪用の容易さを示していました。
Fortinetの脆弱性は、サイバー諜報活動やランサムウェア攻撃において、ゼロデイとして悪用されることが非常に多いという歴史があります。Fortinetの製品は、WAF、VPN、SIEMといった企業のネットワーク境界やセキュリティ監視の中核を担うソリューションであるため、攻撃者にとってはネットワークへの侵入経路や特権的なアクセスを得るための魅力的な標的となりがちです。この傾向は、Fortinet製品のユーザーが常に最新の脅威情報とパッチ適用状況に注意を払う必要性を示唆しています。
Fortinet製品が国家支援型ハッカー集団の標的となった具体的な事例として、2025年2月にFortinetが公表した情報があります。中国を拠点とするハッキンググループ「Volt Typhoon」は、FortiOS SSL VPNの2つの脆弱性「CVE-2022-42475」と「CVE-2023-27997」を悪用し、オランダ国防省の軍事ネットワークに侵入しました。彼らは、カスタムのCoathangerリモートアクセス型トロイの木馬(RAT)マルウェアを使用してバックドアを仕掛け、長期的なアクセスを確立していたとされています。
Volt Typhoonによるこの攻撃は、Fortinet製品の脆弱性が、高度な持続的脅威(APT)グループによって、国家レベルのサイバー諜報活動に利用される現実を浮き彫りにしました。このような事例は、単なる金銭目的のサイバー犯罪とは異なり、地政学的な動機に基づいた攻撃が、いかに巧妙かつ執拗に特定のインフラを狙うかを示しています。Fortinet製品のユーザーは、このような高度な脅威アクターからの攻撃リスクを常に念頭に置く必要があります。
今回のFortiWebゼロデイ攻撃の連鎖は、サイバーセキュリティ業界が直面する根深い課題を改めて浮き彫りにしています。WAFのようなセキュリティ製品自体がゼロデイ脆弱性の標的となることは、多層防御の概念を揺るがしかねない深刻な事態です。BleepingComputerは、これらの脆弱性についてFortinetに問い合わせを行っていますが、現時点では回答を得られていないと報じています。この沈黙は、事態の複雑さや、ベンダー側の対応の難しさを示唆しているのかもしれません。
組織は、今回のFortiWebの脆弱性だけでなく、過去の事例からも教訓を得て、セキュリティ対策を継続的に見直す必要があります。ゼロデイ攻撃は常に発生しうる脅威であり、迅速な情報収集、緊急パッチの適用、そして包括的なインシデントレスポンス計画の策定が、現代のサイバー脅威環境において不可欠な要素となっています。Fortinet製品のユーザーは、ベンダーからの最新情報を常に監視し、推奨される対策を速やかに実行することが、自組織を守るための最善策となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Fortinet warns of new FortiWeb zero-day exploited in attacks - https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-fortiweb-zero-day-exploited-in-attacks/
- -CISA gives govt agencies 7 days to patch new Fortinet flaw - https://www.bleepingcomputer.com/news/security/cisa-gives-govt-agencies-7-days-to-patch-new-fortinet-flaw/