一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月23日、Fortinet製品に関連する認証情報の漏えいについて注意喚起を発表した。
Fortinet製FortiGateなどに関連する認証情報が漏えいしたとされる通称「FortiBleed」に関する情報が複数の組織から公表されており、海外セキュリティベンダーのSOCRadarでは、攻撃者が運用するデータベースに194ヶ国にわたる企業や政府機関に属する86,644台以上の機器のログイン情報が含まれていることを確認しているという。
JPCERT/CCでは、当該情報に国内企業に関連するものが含まれていることを確認しており、漏えいした認証情報が悪用された場合、VPN機器への不正アクセスを起点として、内部ネットワークへの侵入・横展開へと被害が拡大する可能性がある。
攻撃者は侵害したFortiGate機器を経由して内部ネットワークの認証トラフィックを傍受するツールを保有しており、Windowsドメイン認証(Kerberos・NTLM)の資格情報まで窃取・解読された事例も確認されており、この場合はFortiGate側の対処だけでは防ぎきれない侵害経路が残るため、影響を受ける可能性のある組織は、FortiGateの認証情報変更・多要素認証の有効化に加え、内部のActive Directory環境における不審なアクティビティの確認もあわせて実施するよう呼びかけている。
JPCERT/CCでは、自組織の認証情報が漏えいしている可能性がないか、下記の通り確認するよう案内している。
1.設定情報のエクスポート痕跡の確認
2.不審な管理者アクセスの調査
3.影響組織の検索サービスによる調査
4.設定の検証およびログの調査
また、現時点で影響が確認できない組織についても、同様の被害を避けるために下記の対策を行うことを推奨している。
1.一般的な対策の適用
2.FortiOSをPBKDF2対応ファームへ更新
