Source:https://thehackernews.com/2025/11/weekly-recap-fortinet-exploited-chinas.html
🛡 概要
今週は、FortinetのWAF(FortiWeb)に関する深刻な脆弱性(CVE-2025-64446, CVSS 9.1)が悪用され、管理者アカウントの不正作成に利用されたと報告されたほか、PhaaS(Phishing-as-a-Service)の大型基盤が法執行で無力化、北朝鮮関連とされるKonniによるAndroid端末の遠隔初期化濫用、npmレジストリを用いたトークン獲得目的の大量パッケージ投下など、攻撃者が“既存の仕組み”を逆手に取る事例が目立ちました。脆弱性の悪用だけでなく、正規機能やオープンソースのエコシステム、アカウント連携を利用した静かな侵入・破壊が進む点が要警戒です。
🔍 技術詳細
Fortinet FortiWebのCVE-2025-64446は、報告によればパストラバーサルと認証回避の複合チェーンにより、認証前のHTTPリクエストから内部エンドポイントへ到達し、権限昇格同等の操作を成立させる可能性があるとされています。典型的な攻撃フローは、1) 特定パスへのアクセスで不正なファイルパス解決(../)を誘発、2) セッションやトークンを不正取得または検証を回避、3) 管理APIに対する権限操作や管理者ユーザーの新規作成、という段階的な悪用です。ログ上は、異常なURLエンコードや連続したディレクトリトラバーサル、401/403の直後に200へ変化する応答パターン、設定変更イベント(管理者・ポリシー・仮想サーバ設定)に現れる痕跡が兆候となり得ます。
PhaaSの件は、攻撃者がスミッシング/フィッシングを工業化し、銀行・宅配・警察等のなりすましテンプレートや配信基盤を提供して大量の資格情報を収集するビジネスモデルが標的化されたものです。技術的には短縮URLや一時ドメイン、地域別に最適化されたLP、TOTP回避のためのリバースプロキシ等が併用されることがあります。
Konniの事例では、Android端末の正規機能であるGoogleの資産追跡/遠隔管理(Find Hub、旧Find My Device)の「リモートリセット」を、攻撃者がアカウント乗っ取り後に悪用し、ユーザーデータを初期化させる動きが報告されています。これは“脆弱性”ではなく、正規機能の権限悪用に近い態様で、認証情報窃取(フィッシングや情報窃取型マルウェア)→不正ログイン→遠隔リセットの連鎖が成立します。Windows側ではRAT/スティーラーによる横断的な情報窃取やリモート制御が並行する可能性があります。
npmでは、Tea Protocolの報酬メトリクスを不正に稼ぐ目的で、循環依存を含む膨大なパッケージ群を作成・公開し、1回のインストールで多段の追加取得を誘発する手口が観測されています。これはマルウェア配布そのものではない場合でも、CI/CDランナーのリソース枯渇、ビルド時間の大幅増、キャッシュ汚染、SCA(ソフトウェア構成解析)の誤検出増加など運用影響が顕著となり得ます。
⚠ 影響
- FortiWeb: 不正管理者の作成によりWAFポリシー改ざん、背後のWebアプリの侵入拡大、トラフィックの改変や踏み台化が発生し得る。監査証跡の改ざんや遮断回避の懸念も。
- PhaaS/スミッシング: 大量の資格情報漏えい、決済・業務システムへの不正アクセス、二次被害(BEC、内部不正の助長)。
- Konni×Find Hub: 正規機能悪用による端末初期化=業務停止・データ消失。バックアップ不備なら不可逆的損失。
- npm供給網: ビルド失敗、サプライチェーンの信頼低下、インシデント対応の負荷増大。
🛠 対策
- FortiWeb: ベンダーの最新パッチ適用とバージョン固定、管理UI/APIの到達制限(VPN内限定/ソースIP制限)、多要素認証(MFA)、変更監査(管理者作成・ポリシー変更の即時アラート)。仮に侵害兆候があれば、管理者資格情報の全失効・再発行、設定バックアップの整合性検証を実施。
- アイデンティティ: すべての高リスクSaaS/GoogleアカウントでMFA/パスキー強制、地理/デバイス/リスクベースのアクセス制御、異常検知(Impossible Travel、ログイン速度異常)。
- モバイル/MDM: 企業端末はMDMで初期化権限・再アクティベーション手順を統制、業務用Googleアカウント分離、バックアップ/復元の定期演習。
- フィッシング対策: SMS/メールゲートウェイのURL書換え・サンドボックス、宅配/金融なりすましの動的ブロックリスト導入、ユーザ教育の継続。
- npm/ソフトウェア供給網: 依存関係のピン留め(lockfile厳格化)、私設レジストリ/キャッシュプロキシ(Artifactory/Nexus等)で外部同期を審査、循環依存・異常な依存深度のSCA検出ルール追加、CIでのインストール上限・タイムアウト、ネームスペース許可リスト運用。
📌 SOC視点
- ネットワーク/WAFログ: 連続した../や%2e%2eを含むリクエスト、管理APIパスへの異常アクセス、直近で見られなかったUA/ASNからの急増、401→200遷移。管理者作成・権限変更イベントの即時通知。
- SIEMユースケース: 「管理者作成」×「直前に外部IPからの認証回避エラーパターン」×「設定バックアップ実行」の相関。深夜帯のポリシー変更。
- EDR/Endpoint: 新規RAT/スティーラー挙動(永続化、C2通信、資格情報アクセス)を振るまいで検知。ブラウザの資格情報DBアクセス急増。
- アイデンティティ/MDMログ: Google/IdPの新端末ログイン、短時間での複数リセット指示、MFAプッシュ疲労の兆候。
- 開発環境: npm install時の依存解決時間急増、未知スコープからの大量取得、循環依存の検知アラート。
📈 MITRE ATT&CK
- T1190 Exploit Public-Facing Application(初期侵入): 公開WAF/管理APIに対する脆弱性悪用。
- T1136 Create Account(持続化): FortiWeb上での不正管理者アカウント作成という報告に合致。
- T1566 Phishing(初期侵入): PhaaS/スミッシングによる資格情報収集に対応。
- T1078 Valid Accounts(防御回避/横展開): 盗取済みGoogle/業務アカウントで正規機能(Find Hub等)を悪用。
- T1195 Supply Chain Compromise(供給網侵害): npmレジストリを悪用した依存解決の汚染。
- T1485 Data Destruction(影響): 正規の遠隔初期化機能を通じたデータ消去に該当。
🏢 組織規模別助言
- 小規模(〜50名): FortiWeb等の境界機器は即時アップデートと管理面の到達制限を最優先。Google/主要SaaSは強制MFA。npmはlockfile固定と私設ミラーを導入し、外部依存の審査を簡素でも必ず実施。
- 中規模(50〜500名): 変更管理/監査の自動化(SIEM連携)、MDMでの初期化権限統制、フィッシング演習の四半期実施、SBOM生成とSCAでの循環依存検出を標準化。
- 大規模(500名以上): 攻撃面の分離(WAF/管理面のアウトオブバンド化)、ID・ネットワーク・エンドポイント横断のUEBA適用、レジストリプロキシの多段構成と署名検証、BCPにモバイル大量初期化シナリオを組み込んだ復旧訓練。
🔎 類似事例
- Fortinet: CVE-2024-21762(FortiOS SSL VPNの広範な悪用で知られる)、CVE-2023-27997(pre-auth RCE)。
- 供給網: 依存関係の乗っ取り・名義買いによるパッケージ汚染(一般的手口)。
- フィッシング: TOTP中継型リバースプロキシを用いたセッション奪取(一般的手口)。
🧭 次の一手
- 資産棚卸し: FortiWebの型番/バージョン/公開有無、管理面の到達性、直近変更履歴を即時確認。
- 是正: ベンダー推奨パッチ適用、管理面の到達制限・MFA強制、過去30日の管理者作成/ポリシー変更を監査。
- 検知強化: SOCで上記ユースケースを実装。Google/IdPの不審ログイン・遠隔初期化イベントのアラート化。
- 開発保護: 依存固定・私設レジストリ・SCAルール更新(循環依存/依存深度)。
- 復旧力: モバイル/業務データのバックアップ検証とリストア演習を四半期で実施。
参考(調査対象CVEs、要ベンダー告知確認): CVE-2025-64446, CVE-2025-64740, CVE-2025-64741, CVE-2025-64738, CVE-2025-64739, CVE-2025-12485, CVE-2025-59396, CVE-2025-42890, CVE-2025-42887, CVE-2025-12686, CVE-2025-10918, CVE-2025-12120, CVE-2025-12121, CVE-2025-11919, CVE-2025-46608, CVE-2025-64401, CVE-2025-64403, CVE-2025-64404, CVE-2025-64405, CVE-2025-62449, CVE-2025-62453, CVE-2025-37734, CVE-2025-4619, CVE-2025-11224, CVE-2025-52970, CVE-2025-59367, CVE-2025-43515, CVE-2025-23361, CVE-2025-33178, CVE-2025-20341, CVE-2025-12762
