【FortiGate】セキュリティに関するご案内(FortiBleed)

連絡
お知らせ管理番号:
0000006286
公開日:
2026年7月6日

日頃より弊社サービスをご利用いただき、誠にありがとうございます。

Fortinet社より、「FortiBleed」と呼ばれる認証情報窃取に関する攻撃について、
見解が公表されておりますのでご案内いたします。


----------------【Fortinet社見解】---------------

Fortinet製ファイアウォールおよびVPNゲートウェイを標的とした過去のインシデントの再流通、
および認証情報に対する第三者によるブルートフォース攻撃が確認されています。
初期の分析段階では新しい脆弱性ではなく、過去の脆弱性を利用した攻撃であり、
過去に対策済みであれば問題ないと判断しています。

Fortinetは顧客の安全を最優先事項として、引き続き本件の調査を進めています。

参考情報:[Attacks at the Speed of AI - What You Need to Know]
https://www.fortinet.com/blog/industry-trends/attacks-at-the-speed-of-ai

------------------------------------------------


なお、メーカのベストプラクティスとして以下の設定が推奨されています。

・パスワードを複雑なものに設定する
・WAN側からの管理アクセスの削除
・信頼済みホストの設定による制限
・Local-in-Policyの設定
・MFA認証の実施

弊社の最新標準設定では「WAN側からの管理アクセス無効化」、
「信頼済みホストによるアクセス制限」、「Local-in-Policyの設定」に
つきましては、対応済みとなっております。
※上記は最新の標準構成に基づく内容です。ご利用環境により設定が異なる場合があります。


また、対象となる機器情報は公開されておりません。
ご懸念される場合は、上記対策を行っていただくことを推奨いたします。


詳細な設定方法については、以下のFortinet公式ドキュメントをご参照ください。
※下記メーカドキュメントはFortiOS 7.6系を例としております。ご利用の環境により、画面や設定項目が異なる場合があります。

・パスワードを複雑なものに設定する
(パスワードポリシーの設定)
https://docs.fortinet.com/document/fortigate/7.6.4/administration-guide/551047/customizing-complexity-options-for-the-local-user-password-policy

・WAN側からの管理アクセスの削除
(インターフェース設定における「Administrative Access」の無効化)
https://docs.fortinet.com/document/fortigate/7.6.6/administration-guide/574723/interface-settings

・信頼済みホストの設定による制限
(管理者アカウントのTrusted Hosts設定)
https://docs.fortinet.com/document/fortigate/7.6.6/administration-guide/14906/administrator-account-options

・Local-in-Policyの設定
(ローカルインポリシーによるアクセス制御)
https://docs.fortinet.com/document/fortigate/7.6.4/administration-guide/363127/local-in-policy

・MFA認証の実施
(管理者アカウントの多要素認証設定)
https://docs.fortinet.com/document/fortigate/7.6.4/administration-guide/14906/administrator-account-options