Fortinet製品に“認証バイパス”の死角 管理者権限を奪われる「深刻な脆弱性」の正体：任意コード実行のリスク

Fortinet製品に深刻な脆弱性が発覚した。SSOを悪用し、攻撃者が管理者として侵入するリスクが現実味を帯びている。攻撃コードも出回る中、今すぐ実施すべき防衛策を説明する。

[Alex Scroxton，TechTarget]

　企業の境界防御の要として広く普及しているFortinet製品に、極めて危険な「穴」が見つかった。2025年12月に明らかになった2つの脆弱性「CVE-2025-59718」と「CVE-2025-59719」は、ネットワークの門番であるはずの認証機能を無効化し、攻撃者に管理者としての自由な活動を許してしまう恐れがある。

　この問題が特に厄介なのは、すでにソースコード共有サービス「GitHub」で攻撃用のコード（PoC）が公開され、複数の攻撃試行が観測されている点だ。単なる「理論上のリスク」ではなく、今この瞬間もFortinet製品が狙われていると考えたほうがいいだろう。

影響を受けるFortinet製品は

併せて読みたいお薦め記事

Fortinet製品の脆弱性

• Fortinetに「認証回避」の致命的な欠陥　IPAも警告する侵入ルートの塞ぎ方
• Fortinetユーザーが“無防備”に　「SQLインジェクション」の影響範囲は？

　CVE-2025-59718とCVE-2025-59719は、シングルサインオン（SSO）に使われる認証プロトコル「SAML」（Security Assertion Markup Language）の不正なメッセージによって、Fortinet製品のシングルサインオン機能「FortiCloud SSO」を回避することを可能にする。Fortinetによると、これらの脆弱性が影響を与える製品は以下の4つだ。

• Fortinet製品用OS「FortiOS」
• セキュアWebゲートウェイ「FortiProxy」
• WAF（Webアプリケーションファイアウォール）「FortiWeb」
• 仮想アプライアンス「FortiSwitch Manager」

　CVE-2025-59718とCVE-2025-59719が悪用される恐れがあるのは、FortiCloud SSOが有効になっているときだ。FortiCloud SSOは、工場出荷時にはデフォルトで有効になっていないが、技術サポートサービス「FortiCare」に製品を登録した場合には自動的に有効になる。

　米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は声明で、「この種の脆弱性は、攻撃者にとって悪用しやすく、Fortinet製品のユーザー企業に重大なリスクをもたらす」と警鐘を鳴らす。セキュリティ専門家は、CVE-2025-59718とCVE-2025-59719を悪用した攻撃活動が進行しているとみている。

セキュリティ専門家の見解

　セキュリティベンダーRapid7によると、GitHubにCVE-2025-59718とCVE-2025-59719を悪用した攻撃実行情報が投稿され、同社が複数の攻撃試行を確認した。攻撃試行では、攻撃者が管理者として認証を突破し、標的システムの構成ファイルをダウンロードしたという。

　Rapid7によると、構成ファイルには、ハッシュ化された認証情報が含まれている場合がある。そのため、「ユーザー企業は認証情報の漏えいを想定し、パッチ（修正プログラム）をはじめとしたセキュリティ対策を講じる必要がある」と同社は述べる。パッチ適用までの施策としてはFortiCloud SSOを無効にすることが有効だという。

　セキュリティベンダーArctic Wolfは、パッチ適用に加え、ファイアウォールの認証情報をリセットすることも重要だと説明する。これは、ファイアウォールの認証情報が侵害され、外部に持ち出された可能性があるためだ。さらに、ファイアウォールやVPN（仮想プライベートネットワーク）機器へのアクセスを、信頼できる内部ユーザーに限定することも推奨されるという。