<p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">FortiManager / FortiCloud における認証回避の脆弱性 (CVE-2024-47575) 徹底解説と対策</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>FortiManagerのFGFMプロトコルにおける認証欠如を悪用し、未認証の攻撃者が任意コード実行やファイル奪取を可能にする脆弱性（CVE-2024-47575）。CVSS 9.8。インターネットに露出した管理インターフェースが標的となり、既に限定的な悪用が確認されています。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <p>攻撃者が特別な細工を施したパケットをFGFM（TCP/541）ポートに送信し、正規の認証プロセスをバイパスして管理権限を奪取する流れを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃元: インターネット上の攻撃者"] -->|1. FGFMプロトコル TCP/541へ接続| B["FortiManager / FortiCloud"] B -->|2. 認証欠如の脆弱性を悪用| C{"認証バイパス成功"} C -->|3. 任意ファイルの取得/書き換え| D["機密設定情報・デバイスリストの流出"] C -->|4. 他の管理下FortiGateへの横展開| E["ネットワーク全体の侵害"] D --> F["永続的なバックドアの設置"] </pre></div> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <p>本脆弱性は製品自体のコードに起因するため、開発側でのパッチ適用が必須ですが、運用側では管理インターフェースへのアクセスを「最小権限」に絞り込む設定変更が急務です。</p> <h3 class="wp-block-heading">1. 接続許可リスト（ACL）による制限</h3> <p>脆弱な設定（全てのIPを許可）から、管理対象デバイスのみを許可する設定への変更例です。</p> <p><strong>脆弱な設定（デフォルトに近い状態）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># すべてのインターフェースでFGFMを待機し、制限がない状態 config system interface edit "port1" set allowaccess ping https ssh fgfm next end </pre> </div> <p><strong>安全な代替案（信頼されたIPのみ許可）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># 信頼されたIP（管理下デバイスのIP等）からの接続のみを許可するローカルインポリシーの設定 config system local-in-policy edit 1 set intf "port1" set srcaddr "TRUSTED_DEVICE_IPS" # 信頼されたセグメントを指定 set dstaddr "all" set action accept set service "FGFM" next edit 2 set intf "port1" set srcaddr "all" set dstaddr "all" set action deny set service "FGFM" next end </pre> </div> <h3 class="wp-block-heading">2. 未知のデバイス接続の拒否（FortiManager）</h3> <div class="codehilite"> <pre data-enlighter-language="generic"># 承認されていないシリアル番号のデバイス接続を拒否する config system global set fgfm-deny-any-violation enable end </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <h3 class="wp-block-heading">検出ポイント (IOC)</h3> <ul class="wp-block-list"> <li><p><strong>ログの確認</strong>: <code>type=event</code>, <code>subtype=dvm</code>, <code>msg="Unregistered device [...]"</code> などのログに、見覚えのないIPアドレスやシリアル番号が含まれていないか確認。</p></li> <li><p><strong>不審なファイル</strong>: <code>/var/tmp/</code> や <code>/tmp/</code> への未知のスクリプト配置を監視。</p></li> </ul> <h3 class="wp-block-heading">応急的な緩和策</h3> <ol class="wp-block-list"> <li><p><strong>パッチ適用</strong>: Fortinet公式がリリースしている修正済みバージョン（7.0.13+, 7.2.8+, 7.4.5+, 7.6.1+等）へ直ちにアップデート。</p></li> <li><p><strong>FGFMポートの遮断</strong>: パッチ適用が困難な場合、インターネットからTCP/541へのアクセスを上位のFW等で遮断。</p></li> <li><p><strong>証明書認証の強制</strong>: デバイス間通信において、厳格な証明書検証を有効化する。</p></li> </ol> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>可用性への影響</strong>: <code>fgfm-deny-any-violation</code> を有効にすると、正常なデバイスであってもシリアル番号の不一致や証明書の不備がある場合に切断され、管理不能（Down）になるリスクがあります。適用前に全デバイスの登録状態を確認してください。</p></li> <li><p><strong>偽陽性（False Positive）</strong>: ネットワークの不安定さにより再接続が繰り返された際のログが、攻撃の試行と誤認される場合があります。送信元IPのレピュテーションと照合することが重要です。</p></li> <li><p><strong>クラウド連携の盲点</strong>: FortiCloudを経由している場合、自社FWだけでなくクラウド側の設定変更や通知にも留意が必要です。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>組織として今すぐ確認・実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>露出確認</strong>: ShodanやCensys等を用い、自社のFortiManager/FortiGate管理ポートが外部に公開されていないか再点検する。</p></li> <li><p><strong>パッチ適用優先</strong>: 修正済みファームウェアへのアップデートを最優先プロジェクトとしてスケジュールする。</p></li> <li><p><strong>ログ監査</strong>: 直近1ヶ月分のFGFM関連ログを精査し、未知のシリアル番号からの接続試行がないかハンティングを実施する。</p></li> </ol> <h3 class="wp-block-heading">参考文献</h3> <ul class="wp-block-list"> <li><p><a href="https://www.fortiguard.com/psirt/FG-IR-24-423">Fortinet PSIRT Advisory: FG-IR-24-423</a></p></li> <li><p><a href="https://www.jpcert.or.jp/at/2024/at240023.html">JPCERT/CC: Fortinet製品の脆弱性 (CVE-2024-47575) に関する注意喚起</a></p></li> <li><p><a href="https://nvd.nist.gov/vuln/detail/CVE-2024-47575">NIST NVD: CVE-2024-47575 Detail</a></p></li> </ul>

graph TD
    A["攻撃元: インターネット上の攻撃者"] -->|1. FGFMプロトコル TCP/541へ接続| B["FortiManager / FortiCloud"]
    B -->|2. 認証欠如の脆弱性を悪用| C{"認証バイパス成功"}
    C -->|3. 任意ファイルの取得/書き換え| D["機密設定情報・デバイスリストの流出"]
    C -->|4. 他の管理下FortiGateへの横展開| E["ネットワーク全体の侵害"]
    D --> F["永続的なバックドアの設置"]

# すべてのインターフェースでFGFMを待機し、制限がない状態

config system interface
    edit "port1"
        set allowaccess ping https ssh fgfm
    next
end

# 信頼されたIP（管理下デバイスのIP等）からの接続のみを許可するローカルインポリシーの設定

config system local-in-policy
    edit 1
        set intf "port1"
        set srcaddr "TRUSTED_DEVICE_IPS" # 信頼されたセグメントを指定
        set dstaddr "all"
        set action accept
        set service "FGFM"
    next
    edit 2
        set intf "port1"
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service "FGFM"
    next
end

# 承認されていないシリアル番号のデバイス接続を拒否する

config system global
    set fgfm-deny-any-violation enable
end