FortiGateに致命的な脆弱性「FortiBleed」発見

FortiGateデバイスで「FortiBleed」と呼ばれるリモート認証バイパス脆弱性が発見された。米CISAと英NCSCが共同で警告を発した。

この脆弱性を悪用すると、外部からファイアウォールシステムに侵入し、重要な情報にアクセスできる可能性があり、パスワードを安全に保存する方式に存在するため、攻撃者がシステム接続権限を得る可能性が提起された。攻撃成功時には、ユーザーアカウントの乗っ取りやシステムアクセス権限の獲得につながる可能性がある。

この脆弱性はFortiOSバージョン7.2.11、7.4.8、7.6.1に影響を与え、特にPBKDF2アルゴリズムとSHA-256ハッシュ方式を使用するパスワードハッシュ方式に存在する。攻撃者はこれを利用してパスワードハッシュを奪取し、リモートで認証をバイパスできる。

セキュリティ当局は、FortiOSのアップデートと多要素認証（MFA）の有効化による対応と、追加のセキュリティ強化措置を推奨した。セキュリティ専門家は、この脆弱性の悪用による被害を軽減するため、即時のパッチ適用とともに多要素認証（MFA）の有効化を推奨した。

この脆弱性に関する情報は、セキュリティ研究企業SOCRadarによって初めて報告されたことが明らかになり、このセキュリティ勧告は2026年6月18日（現地時間）に発表された。