Fortinet製品に、認証をバイパスされる深刻な脆弱性が発覚した。情シスが今すぐ組織内に発信すべき、実践的な注意喚起の文面とともに、具体的な対策を公開する。
VPN(仮想プライベートネットワーク)やファイアウォール、IPS/IDS(不正侵入検知/防止)などを提供するセキュリティベンダーFortinetの製品に脆弱(ぜいじゃく)性「CVE-2025-59718」「CVE-2025-59719」が見つかり、2025年12月17日、情報処理推進機構(IPA)は注意喚起を公開した。
これらの脆弱性は、Fortinet製品用OS「FortiOS」やセキュアWebゲートウェイ「FortiProxy」などで、管理機能へのログインにシングルサインオン機能「FortiCloud SSO」を有効にしている場合に影響を与える。悪用されたら、攻撃者が認証を回避し、Fortinet製品に入り込む恐れがある。すぐに対策が必要なので、これらの脆弱性について社内で通知し、注意を呼び掛けることが重要だ。本稿は、そのための具体的な文面をお届けする。
【重要】Fortinet製品の認証回避脆弱性(CVE-2025-59718など)に関する注意喚起
関係者各位
情報システム部セキュリティ担当です。
IPA(独立行政法人情報処理推進機構)より、以下のFortinet製品において重大なセキュリティ脆弱性に関する注意喚起が公表されましたので、情報共有と対応のお願いをいたします。
Fortinet社製の下記製品において、デジタル署名検証の不適切な実装によって、認証を回避される脆弱性(CVE-2025-59718、CVE-2025-59719) が確認されています。攻撃者により認証が回避されると、本来管理者権限が必要な操作が可能となる恐れがあります。
Fortinet製品用OS「FortiOS」
セキュアWebゲートウェイ「FortiProxy」
WAF(Webアプリケーションファイアウォール)「FortiWeb」
仮想アプライアンス「FortiSwitch Manager」
各製品の該当バージョンはIPAのアラートページをご確認ください。
1. 最新版へのアップデートの実施
Fortinetが修正版をリリースしていますので、該当製品は速やかにアップデートをお願いします。
2. 回避策の適用
これらの脆弱性は、FortiCloud SSOが有効な場合に悪用される恐れがあります。意図せず有効になっている可能性があるため、関連設定の見直しや確認を実施してください。
本通知を受領次第、速やかに対応をお願いいたします。
優先度は「高」とします。
ご不明点や対応状況の報告は、セキュリティ担当までご連絡ください。
よろしくお願いいたします。
情報システム部
(担当:セキュリティチーム)
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
