【セキュリティニュース】複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を（1ページ目全3ページ）：Security NEXT

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [【セキュリティニュース】複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を（1ページ目 / 全3ページ）：Security NEXT](https://www.security-next.com/180237)【】() --- > [!NOTE] この記事の要約（箇条書き） - Fortinetの複数製品（FortiOS, FortiManager, FortiAnalyzer, FortiProxyなど）に認証バイパスの脆弱性「CVE-2026-24858」が発見されました。 - この脆弱性はFortiCloud SSOに影響し、CVSSv3.1スコアは9.8（クリティカル）と評価されています。 - 既に2件の不正なFortiCloudアカウントによる悪用が確認されており、設定情報の取得や不正な管理者アカウントの追加が行われました。 - FortiCloud SSOはFortiCare登録時にデフォルトで有効化される傾向があり、利用者は設定状況の確認が必要です。 - Fortinetは不正アカウントを停止し、FortiCloud SSOのログイン仕様を変更するなどの対策を実施しました。 - 利用者には、速やかな製品の修正版へのアップデート、不正に作成された管理者アカウントの有無の確認、および提供されたIoC（IPアドレスなど）との照合が呼びかけられています。 > [!NOTE] 要約おわり --- [過去記事](https://www.security-next.com/monthlyarchive) [メルマガ](https://www.security-next.com/mag2) ## 複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を「FortiOS」をはじめ、Fortinetの複数製品において認証のバイパスが可能となる脆弱性が明らかとなった。すでに悪用が確認されており、同社はアップデートの実施や侵害状況の確認を呼びかけている。同社クラウドサービスのシングルサインオンサービス「FortiCloud SSO」を有効化している環境において認証のバイパスが可能となる脆弱性「CVE-2026-24858」が明らかとなり、現地時間2026年1月27日にセキュリティアドバイザリを公開した。「FortiOS」「FortiManager」「FortiAnalyzer」「FortiProxy」などの一部バージョンが影響を受ける。また「FortiWeb」「FortiSwitch Manager」なども影響を受けるおそれがあるとして調査を継続している。同脆弱性は、「FortiCloudアカウント」と登録済みデバイスを持つ場合に悪用が可能で、異なるアカウントにひも付けられたデバイスに対しても、管理者によるログインが可能だった。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。 [PAGE 2](https://www.security-next.com/180237/2) 今回脆弱性が明らかとなった「FortiCloud SSO」に関しては、初期設定では無効とされているが、設定画面よりサポート保守サービス「FortiCare」に機器を登録する際、デフォルトで有効化するよう誘導されている。無効とする設定をあえて選択し直さないとそのまま有効化されるため、管理者が意図しないまま同機能が有効となっているおそれもある。利用者はあらためて設定状況を確認する必要がある。 Fortinetでは、2件の不正なFortiCloudアカウントによる脆弱性の悪用を確認したという。同社は攻撃に悪用された不正アカウントについて現地時間2026年1月22日に停止した。これらアカウントからは、設定情報が取得されたり、対策が講じられた場合も永続的に攻撃できるよう管理者アカウントの追加が行われていた。同社は被害の拡大を防止するため、現地時間同月26日に「FortiCloud」側でシングルサインオン機能を一時的に停止。脆弱なバージョンからのログインを拒否するよう仕様を変更し、翌27日に再開した。 [PAGE 3](https://www.security-next.com/180237/3) 同社は各製品向けにアップデートをリリース。引き続き「FortiCloud SSO」を利用するには、各機器のバージョンを修正済みバージョンへ更新する必要があり、最新版へ更新するよう利用者に求めている。同社は、攻撃に利用されたアカウント2件や発信元のIPアドレス8件を公開。また同社以外でも2件のIPアドレスが確認されており、あわせて「IoC（Indicators of Compromise）」情報として提供している。また侵害後に攻撃者がローカル環境に作成していた管理者アカウントの事例も公開。不正な追加アカウントは「support」「system」「backup」「security」など少なくとも11種類が確認されており、第三者によって追加されていないか、すべての管理者アカウントを確認するよう呼びかけている。（Security NEXT - 2026/01/28 ） ### 関連リンク - [Fortinet：FG-IR-26-060](https://fortiguard.fortinet.com/psirt/FG-IR-26-060) - [フォーティネットジャパン](https://www.fortinet.com/jp/) ##### PR #### 関連記事 [「Chrome」にアップデート - 実装不備の脆弱性1件を修正](https://www.security-next.com/180232) [Atlassian、前月のアップデートで脆弱性のべ34件に対処](https://www.security-next.com/180180) [悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を](https://www.security-next.com/180174) [「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開](https://www.security-next.com/180171) [米当局、「Zimbra」「Versa Concerto」など脆弱性5件の悪用に注意喚起](https://www.security-next.com/180132) [「MOVEit WAF」にコマンドインジェクションの脆弱性- 修正版が公開](https://www.security-next.com/180124) [米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も](https://www.security-next.com/175459) [「VMware vCenter Server」既知脆弱性の悪用を確認 - 米当局も注意喚起](https://www.security-next.com/180108) [「Apache bRPC」に深刻なRCE脆弱性 - アップデートやパッチ適用を](https://www.security-next.com/179807) [キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性](https://www.security-next.com/179862)