🔥 この記事の詳細
2026-07-03 更新
B
今週中

FortinetのFortiGateデバイスを標的とした大規模なデータ窃取キャンペーン「FortiBleed」が、ランサムウェアグループのLynxおよびINCと…

事案🌐 英語ソース📰 4記事🌐 3 countries
🇺🇸 US (2) · 🇮🇹 Italy · 🇹🇭 Thailand
📅 2026-07-03📰 thaicert
📌 一言でいうと
FortinetのFortiGateデバイスを標的とした大規模なデータ窃取キャンペーン「FortiBleed」が、ランサムウェアグループのLynxおよびINCと直接的に関連していることが判明しました。攻撃者は「FortiGate Sniffer」を用いてVPNログイン情報などの認証データを窃取し、さらに「adminin」というユーザー名でバックドアを作成して永続的なアクセス権を確保しています。窃取されたデータは、将来的なネットワーク侵入とランサムウェア攻撃に利用される可能性が高く、世界中で43万台以上のデバイスが影響を受けた可能性があります。
🔍該当判定
  • 社内でFortinet社のファイアウォール『FortiGate』を利用している
  • FortiGateを用いてVPN接続(リモートワーク等の外部アクセス)を運用している
  • FortiGateの管理画面に『adminin』という心当たりのないユーザーアカウントが存在する
上記いずれにも該当しない → 静観でOK
該当時の対応
1. FortiGateデバイスの管理ユーザーリストを確認し、不審なアカウント(例: adminin)が存在しないか点検すること。 2. VPNおよび管理インターフェースの認証ログに不審なログイン試行がないか確認すること。 3. 最新のファームウェアへのアップデートを適用し、多要素認証 (MFA) を強制すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】FortiGateを標的としたFortiBleedキャンペーンへの対応について

お疲れさまです。FortiGateに関する脅威情報共有です。

■ 概要
FortiGateデバイスから認証情報を窃取する「FortiBleed」キャンペーンが、ランサムウェアグループ(Lynx, INC)によるものであることが判明しました。攻撃者はスニッファーを用いてVPN認証情報を窃取し、バックドア(ユーザー名: adminin)を作成して永続的に侵入する手法を用いています。

■ 影響範囲
- 対象製品: Fortinet FortiGate (世界的に43万台以上の影響の可能性)

■ 対応手順
1. 管理者アカウント一覧を確認し、「adminin」などの心当たりのない不審なアカウントが作成されていないか確認してください。
2. VPNおよび管理画面へのアクセスログを精査し、不正なログイン試行や不審なIPアドレスからの接続がないか確認してください。
3. 最新のセキュリティパッチを適用し、特権アカウントへの多要素認証 (MFA) を導入してください。

■ 参考情報
- SOCRadar Threat Intelligence Report

対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Response to FortiBleed Campaign Targeting FortiGate

Dear IT/Security Team,

We are sharing critical intelligence regarding the 'FortiBleed' campaign targeting FortiGate devices.

■ Overview
Recent analysis links the FortiBleed campaign to the Lynx and INC ransomware groups. The attackers use a tool called 'FortiGate Sniffer' to capture VPN credentials and establish persistence by creating a backdoor account named 'adminin'.

■ Scope
- Affected Product: Fortinet FortiGate (Estimated 430,000+ devices globally)

■ Action Items
1. Audit the local user list on all FortiGate devices for unauthorized accounts, specifically looking for the username 'adminin'.
2. Review VPN and administrative access logs for suspicious login attempts or unauthorized IP addresses.
3. Ensure all devices are updated to the latest firmware and enforce Multi-Factor Authentication (MFA) for all administrative and VPN access.

■ Reference
- SOCRadar Threat Intelligence Report

Priority: High
Deadline: Immediate