2026年1月、Fortinet製品群のFortiCloud SSO(シングルサインオン)機能に、CVSS 9.4の致命的な認証バイパス脆弱性CVE-2026-24858が発見された。攻撃者は自身のFortiCloudアカウントと登録済みデバイスさえあれば、他の顧客が登録したFortiGateファイアウォールやFortiManager、FortiAnalyzerに管理者としてログインできるという、クラウドSSO信頼モデルの根幹を揺るがす欠陥である。野生環境での悪用が確認され、CISAはKEV(Known Exploited Vulnerabilities)カタログに緊急追加。本稿では攻撃メカニズムの技術的詳細、被害実態、そしてクラウドSSO設計における構造的教訓を包括的に分析する。
脆弱性の概要と深刻度
CVE-2026-24858は、CWE-288(代替パスまたはチャネルを使用した認証バイパス)に分類される認証バイパス脆弱性である。Fortinet自身が割り当てたCVSSスコアは9.4(Critical)、NVD(National Vulnerability Database)の評価では9.8に達する。CVSSベクトルはAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hであり、ネットワーク経由・低攻撃複雑性・認証不要・ユーザ操作不要という、攻撃者にとって極めて好都合な条件が揃っている。
影響を受ける製品はFortiOS、FortiManager、FortiAnalyzer、FortiProxy、FortiWebの5製品にまたがり、バージョン7.0系から7.6系までの広範なリリースが対象となる。一方、FortiOS 6.4系・8.0系、FortiAnalyzer/FortiManager 6.4系・8.0系、FortiWeb 7.0系・7.2系は影響を受けない。FortiManager Cloud、FortiAnalyzer Cloud、FortiGate Cloudといったクラウド管理サービスも影響対象外である。
注目すべきは、FortiCloudではなくFortiAuthenticatorなどのカスタムIdP(Identity Provider)を使用したSAML SSO構成も影響を受けない点である。これは脆弱性がFortiCloud SSOの認証チャネル固有の問題であることを示している。
FortiCloud SSO信頼モデルと攻撃メカニズム
FortiCloud SSOは、FortiGate等のデバイスをFortiCareに登録する際にGUI上で有効化できる機能である。管理者がハードウェアを登録する過程で「Allow administrative login using FortiCloud SSO」トグルを明示的に無効化しない限り、SSOが自動的にアクティブになる。この設計は利便性を優先した結果、攻撃対象面(Attack Surface)を意図せず拡大させた。
正常なFortiCloud SSO認証フローでは、FortiGateがSAMLサービスプロバイダー(SP)として機能し、FortiCloudがIdPとして認証トークンを発行する。デバイスは受け取ったトークンを検証し、FortiCloud上のアカウント情報に基づいて管理者権限を付与する。CVE-2026-24858の核心は、この認証フローにおいて「代替パスまたはチャネル」が存在し、攻撃者が自身のFortiCloudアカウントで取得したSSO認証情報を、本来アクセス権のない他の顧客のデバイスに対して行使できてしまう点にある。
具体的には、攻撃者は正規のFortiCloudアカウントを作成し、自身が所有する任意のFortinetデバイスを1台登録するだけで攻撃の前提条件を満たす。その後、FortiCloud SSOが有効化された他の顧客のデバイスに対して認証バイパスを実行し、管理者レベルのアクセスを取得する。これはテナント間の認証境界が適切に分離されていなかったことを意味する、クラウドSSO信頼モデルの根本的な設計不備である。
野生環境での悪用と被害実態
CVE-2026-24858の野生環境での悪用は2026年1月20日に複数のFortinet顧客によって報告された。攻撃者は最新のFortiOSにアップデート済みのFortiGateファイアウォールに侵入し、ローカル管理者アカウントを不正に作成していた。Fortinetの調査により、少なくとも2つの悪意あるFortiCloudアカウント(cloud-noc@mail.ioおよびcloud-init@mail.io)が攻撃に使用されていたことが判明し、1月22日にこれらのアカウントはロックアウトされた。
攻撃者の侵入後の行動パターンは以下のとおりである。まず、標的デバイスのファイアウォール設定ファイルをダウンロードし、ネットワーク構成の偵察を実施した。次に、永続的なローカル管理者アカウントを作成した。作成されたアカウント名には「audit」「backup」「itadmin」「secadmin」「support」「svcadmin」といった、正規の運用アカウントに偽装した命名が使われている。さらに、VPN設定を変更して新規作成したアカウントにリモートアクセス権限を付与するなど、長期的な持続性の確保が図られた。
攻撃者のインフラとしては、IPアドレス104.28.244.115、104.28.212.114(Cloudflare保護下)、37.1.209.19、217.119.139.50が確認されている。Cloudflareで保護されたIPへの移行は、攻撃者が検知回避を意識していたことを示唆する。Shadowserverのスキャンによれば、FortiCloud SSOが有効なFortinetインスタンスは約10,000台が検出されており、2025年12月下旬の26,000台超から減少傾向にあるものの、そのうち約4分の1が米国に所在していた。
インシデント対応のタイムラインと緩和策
Fortinetおよび関係機関による対応は以下の時系列で進行した。
- 2026年1月20日:複数の顧客がFortiGateファイアウォールへの不正アクセスを報告
- 2026年1月22日:Fortinetが悪意あるFortiCloudアカウント2件をロックアウト。PSIRTブログ「Analysis of Single Sign-On Abuse on FortiOS」を公開
- 2026年1月26日:Fortinetがすべてのデバイスに対するFortiCloud SSO認証を一時的に無効化
- 2026年1月27日:脆弱なバージョンからのSSO認証を拒否する制御を実装した上でFortiCloud SSOサービスを再開。同日、CISAがCVE-2026-24858をKEVカタログに追加。連邦民間行政機関(FCEB)に対して1月30日までの改善を義務付け
- 2026年1月28日:FortiOS 7.4.11を含む修正パッチの配布を開始
緩和策として、FortiCloud SSOを無効化するCLIコマンド(config system global → set admin-forticloud-sso-login disable → end)が提示されている。またGUIからは「System → Settings」で「Allow administrative login using FortiCloud SSO」をオフに切り替えることで無効化できる。パッチ適用後の推奨事項として、Fortinetは管理者アカウントの棚卸し、不審なアカウントの削除、VPNおよびリモートアクセス設定の見直し、LDAPやActive Directoryの認証情報のローテーションを求めている。
クラウドSSO信頼モデルの構造的教訓
CVE-2026-24858は単なる実装バグにとどまらず、クラウドSSO信頼モデルの設計思想に内在する構造的リスクを顕在化させた事例である。第一の教訓は、テナント分離の重要性である。クラウドSSOにおいてIdPが発行する認証トークンは、特定のテナント(顧客)のリソースにのみ有効であるべきだが、CVE-2026-24858ではこの境界が崩壊していた。SAMLアサーションの検証において、トークンの発行先とデバイスの登録先の整合性チェックが不十分であったと推定される。
第二の教訓は、デフォルト有効化の危険性である。FortiCloud SSOはデバイス登録時にデフォルトで有効になる設計であり、管理者が意識的に無効化しない限り攻撃対象面に含まれる。セキュリティ機能は「オプトイン」が原則であるべきだが、利便性を追求した「オプトアウト」モデルがリスクを拡大させた。
第三の教訓は、サーバーサイド制御の即応性である。Fortinetは脆弱なバージョンからの認証をサーバーサイドで拒否する制御を迅速に実装し、デバイス側のパッチ適用を待たずに攻撃ベクトルを遮断した。クラウドSSO基盤においては、このようなサーバーサイドでのポリシー制御能力が危機対応の鍵となる。
Fortinet製品は過去にもCVE-2025-59718やCVE-2025-59719といったSSO関連の脆弱性が報告されており、FortiCloudの認証アーキテクチャ全体に対する体系的な見直しが求められる状況にある。企業のセキュリティチームは、ネットワーク機器のクラウド管理におけるSSO依存度を再評価し、多層防御の観点からローカル認証の併用やカスタムIdPへの移行を検討すべきである。
FAQ
CVE-2026-24858はどのような脆弱性か?
FortiCloud SSOの認証バイパス脆弱性である。攻撃者が自身のFortiCloudアカウントと登録デバイスを持っていれば、SSO有効な他の顧客のFortiGate等に管理者としてログインできてしまう。CWE-288に分類され、CVSSスコアは9.4(Critical)である。
影響を受ける製品とバージョンは?
FortiOS、FortiManager、FortiAnalyzer、FortiProxy、FortiWebの7.0系~7.6系が対象。FortiOS 6.4/8.0系やクラウド管理サービス(FortiManager Cloud等)は影響を受けない。カスタムIdPを使用したSAML SSO構成も影響対象外である。
自社が被害を受けたか確認する方法は?
ローカル管理者アカウント(audit、backup、itadmin、secadmin、support、svcadmin等)の不審な追加、VPN設定の不正変更、設定ファイルのダウンロード履歴を確認すべきである。Fortinetが公開したIoC(IPアドレス等)との照合も推奨される。
どのような緩和策があるか?
最優先はFortiOS 7.4.11以降への即時アップデートである。暫定策としてCLIからset admin-forticloud-sso-login disableでFortiCloud SSOを無効化できる。パッチ適用後は管理者アカウントの棚卸しと認証情報のローテーションを実施すべきである。
参考文献
- FG-IR-26-060: Administrative FortiCloud SSO authentication bypass — FortiGuard Labs PSIRT, 2026年1月
- Analysis of Single Sign-On Abuse on FortiOS — Fortinet Blog, 2026年1月22日
- Fortinet Releases Guidance to Address Ongoing Exploitation of Authentication Bypass Vulnerability CVE-2026-24858 — CISA, 2026年1月28日
- NVD - CVE-2026-24858 — NIST National Vulnerability Database
- Fortinet Patches CVE-2026-24858 After Active FortiOS SSO Exploitation Detected — The Hacker News, 2026年1月
- Fortinet Patches Exploited FortiCloud SSO Authentication Bypass — SecurityWeek, 2026年1月
