B
今週中
FortiGateの管理ポータルを標的とした大規模な資格情報窃取キャンペーン「FortiBleed」が、INCおよびLynxランサムウェアグループによるものであ…
📌 一言でいうと
FortiGateの管理ポータルを標的とした大規模な資格情報窃取キャンペーン「FortiBleed」が、INCおよびLynxランサムウェアグループによるものであることが判明しました。攻撃者は世界150カ国以上の約11,250個のポータルをスキャンし、409件の管理者権限を奪取したと報告されています。このアクセス権を利用して、すでに少なくとも12件のランサムウェア展開が実行され、数百台のエンドポイントが暗号化されました。
🔍該当判定
- Fortinet社の製品『FortiGate』を導入して利用している
- FortiGateの管理画面(ポータル)に外部(インターネット)からアクセスできる設定にしている
- FortiGateの管理者アカウントのパスワードを、初期設定のままか単純なものにしている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
FortiGate管理ポータルのインターネット公開を停止し、VPN経由のみに制限すること。管理者アカウントに強力な多要素認証 (MFA) を導入し、不審なログイン履歴がないかログを確認することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】FortiGate 管理ポータルを標的とした資格情報窃取(FortiBleed)について
お疲れさまです。FortiGateを標的とした攻撃キャンペーンに関する情報共有です。
■ 概要
「FortiBleed」と呼ばれるキャンペーンにより、FortiGateの管理ポータルから管理者資格情報が窃取され、その後INCおよびLynxランサムウェアグループによる攻撃に繋がっていることが確認されました。攻撃者はインターネット上の公開ポータルをスキャンし、奪取した権限を用いてランサムウェアを展開しています。
■ 影響範囲
- FortiGate 管理ポータルをインターネットに公開している環境
■ 対応手順
1. 管理ポータルのインターネット公開設定を確認し、可能な限り信頼できるIPアドレスのみに制限するか、VPN経由のアクセスに限定してください。
2. すべての管理者アカウントに多要素認証 (MFA) を強制適用してください。
3. 管理者ログインログを確認し、身に覚えのないIPアドレスからのアクセスがないか調査してください。
■ 参考情報
- SOCRadar Report
対応優先度: 高
対応期限: 直ちに確認
お疲れさまです。FortiGateを標的とした攻撃キャンペーンに関する情報共有です。
■ 概要
「FortiBleed」と呼ばれるキャンペーンにより、FortiGateの管理ポータルから管理者資格情報が窃取され、その後INCおよびLynxランサムウェアグループによる攻撃に繋がっていることが確認されました。攻撃者はインターネット上の公開ポータルをスキャンし、奪取した権限を用いてランサムウェアを展開しています。
■ 影響範囲
- FortiGate 管理ポータルをインターネットに公開している環境
■ 対応手順
1. 管理ポータルのインターネット公開設定を確認し、可能な限り信頼できるIPアドレスのみに制限するか、VPN経由のアクセスに限定してください。
2. すべての管理者アカウントに多要素認証 (MFA) を強制適用してください。
3. 管理者ログインログを確認し、身に覚えのないIPアドレスからのアクセスがないか調査してください。
■ 参考情報
- SOCRadar Report
対応優先度: 高
対応期限: 直ちに確認
Subject: [Security Alert] Credential Theft Targeting FortiGate Portals (FortiBleed)
Dear IT/Security Team,
We are sharing information regarding the 'FortiBleed' campaign targeting FortiGate administrative portals.
■ Overview
It has been discovered that the FortiBleed campaign, which harvests administrative credentials from FortiGate portals, is linked to the INC and Lynx ransomware operations. Attackers are scanning for exposed portals to gain initial access and subsequently deploy ransomware.
■ Scope
- Environments with FortiGate administrative portals exposed to the public internet.
■ Action Items
1. Review the exposure of administrative portals and restrict access to trusted IP addresses or require VPN access.
2. Enforce Multi-Factor Authentication (MFA) for all administrative accounts.
3. Audit administrative login logs for any unauthorized access from unknown IP addresses.
■ Reference
- SOCRadar Report
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding the 'FortiBleed' campaign targeting FortiGate administrative portals.
■ Overview
It has been discovered that the FortiBleed campaign, which harvests administrative credentials from FortiGate portals, is linked to the INC and Lynx ransomware operations. Attackers are scanning for exposed portals to gain initial access and subsequently deploy ransomware.
■ Scope
- Environments with FortiGate administrative portals exposed to the public internet.
■ Action Items
1. Review the exposure of administrative portals and restrict access to trusted IP addresses or require VPN access.
2. Enforce Multi-Factor Authentication (MFA) for all administrative accounts.
3. Audit administrative login logs for any unauthorized access from unknown IP addresses.
■ Reference
- SOCRadar Report
Priority: High
Deadline: Immediate