2025年2月12日、フォーティネット(Fortinet)のFortiOSおよびFortiProxy製品において、新たなゼロデイ脆弱性(CVE-2025-24472)が発見されました。本脆弱性は、認証バイパスを可能にし、攻撃者が正規の認証なしに管理者権限でシステムへアクセスできるようになるという重大な問題を引き起こします。また、実際の攻撃において本脆弱性が悪用された痕跡が確認されており、フォーティネットは緊急パッチを配布するとともに、ユーザーに対し速やかな対応を推奨しています。本記事では、CVE-2025-24472の脆弱性概要と攻撃事例を解説するとともに、Criminal IPのIT資産検索機能を活用し、インターネット上に公開されているフォーティネット製品を特定する方法についてご紹介します。
CVE-2025-24472脆弱性の概要
CVE-2025-24472は、フォーティネットのセキュリティ製品であるFortiOSおよびFortiProxyに存在する、認証バイパス(Authentication Bypass)を引き起こす深刻なセキュリティ脆弱性です。攻撃者は細工されたリクエストをサーバーに送信することで、通常の認証プロセスを回避し、管理者権限を取得できるため、企業や公共機関のネットワークセキュリティに重大な脅威をもたらす可能性があります。
フォーティネットは、CVE-2025-24472の影響を受ける製品バージョンを以下の通り公開しました。
- FortiOS:バージョン 7.0.0 ~ 7.0.16
- FortiProxy:バージョン 7.0.0 ~ 7.0.19と7.2.0 ~ 7.2.12
(正確なバージョン情報は、フォーティネットの公式セキュリティアドバイザリーをご参照ください。)
CVE-2025-24472の実際の攻撃事例
フォーティネットによると、CVE-2025-24472はすでに一部のサイバー攻撃グループによって悪用された事例が確認されています。特に、特定の脅威アクターが政府機関、金融企業、大手企業を標的とした攻撃でこの脆弱性を利用していることが判明しています。
GBHackersによると、この脆弱性を悪用した攻撃は次のような手順で実行されたと報告されています。
- 攻撃者は、インターネット上に公開されているFortiOSおよびFortiProxyの管理インターフェースをスキャンし、脆弱なシステムを特定する
- 脆弱性を悪用し、認証を回避して管理者権限を取得する
- ネットワーク内でのさらなる攻撃のためにバックドアを設置したり、機密データを窃取する
Criminal IPのIT資産検索を活用したフォーティネット機器の探索
インターネットに公開されているFortiOSおよびFortiProxy機器を特定することは、セキュリティ脅威を最小限に抑えるための重要なステップです。Criminal IPのIT資産検索は、インターネット上に公開された機器を簡単に検索できる強力なセキュリティツールであり、特定のキーワードやフィルターを使用することで、公開された機器を迅速に特定することが可能です。
Criminal IPの検索クエリ:title: Web Filter Block Override
Criminal IPのIT資産検索で「title: Web Filter Block Override」を検索したところ、2025年2月19日時点で2,479,299件のFortiOS機器がインターネット上に公開されていることが確認されました。
検索結果に表示されたIPアドレスの一つをクリックすると、4つのオープンポートと13個の脆弱性が確認されました。そのうちの1つはGitHub上でPoCが公開されており、直ちに対処する必要があると考えられます。また、1件のExploit DBも確認され、このIPアドレスはセキュリティ上、極めて危険な状態にあると判断されます。
Criminal IPの検索クエリ:title:”FortiProxy”
Criminal IPのIT資産検索で「title: FortiProxy」を検索した結果、2025年2月19日時点でインターネットに公開されているFortiProxy機器は911件確認されました。
これらの機器がすべてCVE-2025-24472の脆弱性を抱えているわけではありませんが、インターネットに公開されたシステムは攻撃対象領域が広く、リスクが高まります。特に、管理者インターフェースが外部に公開されている場合、攻撃者が容易に認証バイパスの脆弱性を悪用する可能性があるため、組織はネットワークアクセスを必ず制限する必要があります。Criminal IPのIT資産検索を活用することで、フォーティネット機器がインターネットに公開されているかを簡単に確認し、そのシステムが攻撃リスクにさらされているかどうかを評価できます。これにより、企業はより効果的な事前対策を講じることが可能になります。
FAQ(よくある質問)
Q1. CVE-2025-24472の脆弱性はすべてのフォーティネット製品に影響しますか?
いいえ。この脆弱性は、FortiOSおよびFortiProxy製品の特定のバージョンにのみ影響します。詳細な影響範囲については、フォーティネットの公式セキュリティアナウンスをご参照ください。
Q2. 追加のセキュリティパッチや緩和措置にはどのようなものがありますか?
フォーティネットは、この脆弱性を解決するためのセキュリティパッチを配布しており、対象製品を使用しているすべての組織に対し、以下の対策を講じることを推奨しています。
- 最新のセキュリティアップデートの適用:フォーティネットが提供する最新のファームウェアとセキュリティパッチをすぐにインストール
- 管理者インターフェースの保護:外部ネットワークからFortiOSおよびFortiProxyの管理インターフェースに直接アクセスできないようにファイアウォールルールを修正
- MFA(多要素認証)の有効化:アカウントのセキュリティを強化するために、管理者アカウントにMFAを設定する
- ログ監視の強化:不審なログインの試みを検出し、異常な兆候がないかネットワークトラフィックを継続的に監視する
結論
CVE-2025-24472の脆弱性は、フォーティネット製品を使用する組織にとって深刻なセキュリティ上の脅威となる可能性があります。したがって、フォーティネットのセキュリティパッチを迅速に適用し、ネットワークセキュリティを強化することが重要です。Criminal IPは、最新のセキュリティ動向を継続的に監視し、脅威インテリジェンスに基づいてお客様がより安全な環境を維持できるよう支援しています。
関連して、Fortinet RCEバグに脆弱な機器が1,000台以上発見された(CVE-2024-21762)をご参照ください。
データの提供:Criminal IP(https://www.criminalip.io/ja)、BleepingComputer(https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/)、gbhackers(https://gbhackers.com/fortinet-fortios-fortiproxy-zero-day/)
ご参照:
