何が起きたか
2026 年 6 月 18 日に、CISA と研究者は 86,644 台の Fortinet デバイスが動作する認証情報が公開されている状態で侵害されたことを開示しました。脅威アクターは主要企業および政府機関の確認済み認証情報データベースを構築し、おそらく事前の侵害またはコンフィギュレーションファイルの流出を通じて収集しました。
なぜ重要か
侵害されたファイアウォールは、AI/ML インフラストラクチャをホストしている内部ネットワークへのエントリポイントです。ペリメータ内に入ると、攻撃者はモデルサーバー、ベクターデータベース、およびエージェント的なシステムを侵害できます。これはミッションクリティカルなインフラストラクチャに影響を与える広範なキャンペーンです。
攻撃経路
攻撃者はインターネットを体系的に大量にスキャンして Fortinet リモートログインエンドポイントを検出し、発見されたデバイスに対して厳選されたリークされた FortiGate パスワードデータベースを使用してパスワードスプレー攻撃を実行しました。成功した認証情報の侵害は、攻撃者に企業ペリメータネットワークへの永続的なアクセスを付与し、内部 AI/ML インフラストラクチャへのラテラルムーブメントを有効にしました。
影響を受けるシステム
Fortinet FortiGate ファイアウォールおよび SSL VPN ゲートウェイ; 特定の CVE はありませんが、認証情報の再利用と弱いパスワードポリシーを悪用します
緩和策
即座のアクション: すべての FortiGate 管理者認証情報を一意の強力なパスワードに変更してください。すべてのリモートアクセスで MFA を有効にしてください。疑わしいログイン活動について ログを監査してください。CISA アラート: https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure