Fortinetファイアウォール大規模漏洩「FortiBleed」 | 2026年6月19日

東京セキュリティブリーフィング 2026年06月19日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。このポッドキャストは、日本のセキュリティ担当者・SIEMエンジニア・情報セキュリティ責任者を対象に、最新のセキュリティ脅威とトレンドを毎日お届けします。本日は2026年06月19日、金曜日。世界中で報告されている重要なセキュリティインシデントと脆弱性情報を詳しく解説していきます。

ヘッドライン

本日は5つの主要なセキュリティニュースをお届けします。

まず、世界中で大規模な認証情報漏洩が明らかになったFortinetファイアウォールの「FortiBleed」インシデント。次に、ゲーマーを狙ったSteam WorkshopでのWallpaper Engineマルウェア配布キャンペーン。さらに、Google広告を悪用した高度なソーシャルエンジニアリング攻撃の実態。それから、複数のFortinet脆弱性が実際に悪用されていることが確認されました。そして、国際法執行機関による大規模なボットネット取り締まり「SocGholish」作戦の成果についてです。

詳細解説

Fortinetファイアウォール大規模漏洩「FortiBleed」

最初にお伝えするのは、世界的に大きな影響を与えているFortinetのセキュリティインシデント「FortiBleed」です。複数のセキュリティ研究者の報告により、広範囲にわたるFortinetファイアウォールの認証情報漏洩が明らかになりました。

**何が起きたのか**

ロシア語話者の脅威アクターグループにより、約73,932件のユニークなFortiGateファイアウォール設定ファイルから、VPN認証情報が窃取されています。これらの認証情報が流出しているのです。

**被害の規模**

被害は世界194カ国に及んでいます。特に注目すべきは、被害企業の規模です。Foxconn、Samsung、AT&T、Chevronといった世界的に有名な大企業が被害に遭っています。さらにNATO関連組織も含まれていることが確認されています。

**攻撃者の活動**

攻撃者グループは、これら窃取した認証情報を用いて、実に11億6,000万回を超える認証試行を実施しています。また、ロシア語話者グループが、320,777台ものFortiGateデバイスに対してブルートフォース攻撃を行い、SSL VPNハッシュを45GPU構成で破割したことが報告されています。

**パスワードの複雑さでは防げない現実**

特に警告すべきなのは、複雑で長いパスワードであっても、大規模なGPU構成による計算能力の前では十分な防御にはならないということです。これまで「パスワードは複雑で長いものを使用する」という対策が取られてきましたが、この事件はそれだけでは不十分であることを示しています。

**推奨される対策**

被害に遭った、または遭う可能性のある組織には、直ちに以下の対策が推奨されています。まず、Fortinetファイアウォールのパスワードを即座に変更すること。そして、多要素認証を有効化すること。これは、パスワード漏洩時に攻撃者がアクセスするのを防ぐための重要な防線となります。

Steam WorkshopでのWallpaper Engineマルウェア配布

次は、ゲームプラットフォームを標的にした新たなマルウェア配布キャンペーンについてです。

**何が起きたのか**

Kasperskyの脅威研究チームが、Steamのワークショッププラットフォームで、Wallpaper Engineというアプリケーションを悪用したマルウェア配布キャンペーンを発見しました。

**詳細な手口**

攻撃者は、Wallpaper Engineの「アプリケーション」壁紙機能を悪用しています。この機能により、攻撃者は任意のコードを実行できる悪意あるコンテンツを配布できます。

**配布されたマルウェアの種類**

配布されているマルウェアには、複数の種類があります。具体的には、バックドア機能を持つマルウェア、認証情報などの情報を盗み出すインフォスティーラー、コンピュータリソースを盗用するマイナー、そしてランサムウェアが含まれています。

**被害の規模**

何十件ものアプリケーションが数千から数万のダウンロードを記録しており、かなりの数のユーザーが被害に遭っているものと推定されます。

**被害の地理的分布**

被害の大部分は中国（89%）で報告されており、ロシアが5.5%を占めています。感染したユーザーのマシンからは、認証情報とセッション情報が攻撃インフラへ送信されています。

Google広告を悪用したソーシャルエンジニアリング攻撃キャンペーン

次は、複数の信頼できるプラットフォームを悪用した、大規模なマルバタイジングキャンペーンについてです。このキャンペーンは極めて高度で、AI開発者を主なターゲットとしています。

**キャンペーンの概要と期間**

このキャンペーンは2026年4月8日から6月14日にかけて、7週間にわたって展開されました。攻撃者は6つの異なる攻撃波を発動し、106個の悪意あるホスト名を展開しています。

**使用された悪用プラットフォーム**

攻撃者は、Google広告プラットフォームを使用してAI開発者に対してターゲット広告を配信しました。また、GitLab Pagesというウェブホスティングサービスを初期段階で使用し、後にClaude.aiの共有チャット機能に転換しています。最終段階では、Claude.aiの共有会話機能上に61件の悪意あるチャットを作成しました。

**ターゲット層と被害統計**

このキャンペーンは、AI開発者という特定の専門職を標的としています。2,000人以上のユーザーが被害に遭ったと報告されています。地理的には、台湾からの被害が全体の30.5%を占めており、特に集中しているエリアです。

**攻撃手法の詳細**

攻撃者は、AI開発ツールを装った偽のサービスを広告で紹介します。その広告をクリックしたユーザーは、特定のサイトに誘導されます。そのサイトでは、「ClickFix」というソーシャルエンジニアリング手法が使用されます。これは、ユーザーに対してターミナルやコマンドラインコマンドの実行を促すもので、ユーザーが無意識のうちにマルウェアをダウンロード・実行してしまう仕組みになっています。

**配布されたペイロード**

攻撃の最終段階では、インメモリRATと呼ばれるリモートアクセストロイの木馬が配布されます。このマルウェアは、ユーザーのマシンに対して完全なリモート制御権を与えます。

2024年に公表されたFortinet脆弱性が実際に悪用される

続いて、Fortinet製品に関する別のインシデントについてお伝えします。4月に公表された重大な脆弱性が、現在実際に攻撃者に悪用されていることが確認されました。

**脆弱性の詳細**

対象となるのは、FortiSandboxという製品の脆弱性です。2つの脆弱性が確認されています。

1つ目は、CVE-2026-39808で、OSコマンドインジェクションの脆弱性です。これにより、攻撃者は任意のOSコマンドを実行できます。

2つ目は、CVE-2026-39813で、パストラバーサルの脆弱性です。これにより、攻撃者はファイルシステム内で自由に移動し、本来アクセス権限がないはずのファイルにアクセス可能になります。

**悪用の実績**

2026年6月に入り、これらの脆弱性の悪用が実際に確認されました。13の異なる送信元から、計49件の攻撃イベントが観測されています。

**攻撃者の特性**

最も注目すべき点は、複数の独立した攻撃者グループが、同じ脆弱性を悪用していることです。攻撃の送信元は9カ国にわたっており、異なる脅威アクターが関与している可能性が高いことを示唆しています。

F5 NGINXの重大な脆弱性パッチ公開

次は、ウェブサーバーソフトウェアの重大な脆弱性についてです。

**脆弱性の内容**

F5がNGINX製品ファミリーに対する複数の脆弱性修正パッチをリリースしました。最も深刻な脆弱性は2つです。

CVE-2026-42530とCVE-2026-42055で、両者ともCVSSスコア9.2の最高深刻度に分類されています。これらの脆弱性は、HTTP/3とHTTP/2プロトコルに関連しており、use-after-freeまたはヒープバッファオーバーフロー条件を引き起こします。

**影響**

これらの脆弱性により、サービス妨害（DoS）攻撃、あるいはリモートコード実行が可能になります。深刻な点は、認証を必要としないということです。つまり、インターネットに接続されているNGINXサーバーであれば、誰でも攻撃できます。

**影響を受ける製品**

影響を受ける製品は、NGINX Plus、NGINX Open Source、NGINX Gateway Fabric、およびNGINX Management Suiteなど、複数に及びます。

国際法執行機関がSocGholishボットネットを大規模に取り締まり

次は、国際的な法執行機関による大規模な取り締まり作戦についてです。

**作戦の概要**

オペレーション・エンドゲームと呼ばれる国際的な共同作戦により、SocGholishボットネットに対する大規模な取り締まりが実施されました。

**SocGholishについて**

SocGholishは、TA569というサイバー犯罪グループが運営しており、Evil Corpという組織と関連があることが知られています。2017年から活動を続けている長期的な脅威です。

**取り締まり成果**

今回の作戦により、SocGholishが使用していた106台のサーバーとドメインがオフラインにされました。さらに、14,971件のWordPressサイトから、SocGholishマルウェアが除去されました。

**SocGholishの手口**

SocGholishは、難読化JavaScriptをWordPressサイトに注入し、ユーザーのブラウザに偽のブラウザアップデート通知を表示します。ユーザーがこれをクリックすると、実はマルウェアをダウンロード・インストールしてしまうという仕組みです。

**影響の深さ**

14,971件のWordPressサイトが感染していたという数字は、このキャンペーンの影響の大きさを物語っています。これらのサイトの訪問者は、すべて感染の危険にさらされていました。

その他の重要なセキュリティインシデント

**北朝鮮による採用詐欺とAI活用**

北朝鮮の工作員がテック企業のリモートポジションに応募するという詐欺キャンペーが明かになりました。AIリアルタイム回答補助ツールを使用して面接対応を行い、複数企業を標的にしています。調査により、米国内に設置されたPiKVM制御のラップトップファームが発見されており、報酬は盗まれた身元の米銀行口座を経由して北朝鮮に送金されていることが判明しています。

**ディープフェイクによる本人確認詐欺の参入障壁低下**

AI技術の進展により、リアルタイムディープフェイク音声・映像が数分で生成可能になりました。これにより、なりすまし攻撃の参入障壁が大幅に低下しています。従来の視聴覚確認は不十分で、多層認証・アウト・オブ・バンド確認が対策として推奨されています。

**アンドロイドマルウェア「Rokarolla」のバンキング詐欺**

新型Androidマルウェア「Rokarolla」が、200以上のバンキングアプリと暗号資産アプリを標的にしています。偽のロック画面やログインページで認証情報を窃取し、アクセシビリティ機能を悪用してOTPやメッセージを傍受します。サイドローディングによる配布が確認されています。

**Microsoft Defender脆弱性「RoguePlanet」**

CVE-2026-50656として管理されるMicrosoft Malware Protection Engine内の権限昇格脆弱性が公開PoC付きで開示されました。CVSSスコア7.8の脆弱性で、リンクフォロー脆弱性によるTOCTOU競合が原因です。Microsoftはパッチ開発中で、有効な回避策がない状態です。

**Splunk AI Toolkitの深刻な脆弱性**

SplunkのAI ToolkitにCVE-2026-20266という脆弱性が発見されました。CVSSスコア9.1の非常に深刻度が高い脆弱性で、OSコマンドインジェクションを許容します。Admin権限が必要ですが、バージョン5.7.4未満が影響を受けます。

**WordPress SMTPプラグインの認証情報漏洩**

インストール数10万超のGravity SMTPプラグインにCVE-2026-4020という脆弱性があります。CVSSスコア5.3の中程度の脆弱性で、REST APIエンドポイントで認証チェック欠如のため、約365KBのメタデータと認証情報が平文で流出します。バージョン2.1.5以降のパッチが推奨されています。

**Cisco ISEの深刻なコマンド実行脆弱性**

CiscoがIdentity Services Engine（ISE）のCVE-2026-20181を公開しました。CVSSスコア9.1で、ユーザー入力検証不備によりroot権限を取得してコード実行が可能です。ISE 3.3 Patch 11および3.4 Patch 6で修正されています。

クロージング

本日は、世界中で報告されている重要なセキュリティインシデントと脆弱性について詳しく解説いたしました。

特に印象的なのは、FortiBleedのような大規模な認証情報漏洩が複数の大企業やNATO関連組織にまで影響を及ぼしている点です。パスワードの複雑さだけでは防げないということを改めて認識させられます。多要素認証の実装が、これまで以上に重要になっています。

また、Steam WorkshopやGoogle広告、Claude.aiといった一般ユーザーも利用する信頼されたプラットフォームが、悪意ある攻撃者に悪用されている実態も重要な指摘です。私たちが毎日接するプラットフォームが、知らないうちに攻撃の経由地になっているかもしれません。

さらに、SocGholishの取り締まりのように、国際的な法執行機関による協働が着実に成果を上げている例もあります。セキュリティは、一国家や一企業だけでなく、国際的な連携により初めて効果的な対抗が可能であることがわかります。

気になるニュースがあれば、ぜひ詳細をご確認いただき、貴組織のセキュリティ対策に反映させてください。これらのインシデントから学ぶことは、貴社のリスク管理に大きく貢献するはずです。

東京セキュリティブリーフィングでした。また次回お会いしましょう。