
第2章 『オフィスへの来訪者: オンラインで終わらないサイバー攻撃』
第3章 『BOD 26-04が示すリスクベース脆弱性対応への転換』
【ページサマリー】
当レポートでは2026年6月中に生じた様々な情報セキュリティに関する事件、事象、またそれらを取り巻く環境の変化の中から特に重要と考えられるトピック3点を選び、まとめたものである。各トピックの要旨は以下のとおりである。
第1章 『FortiBleedの教訓: 認証への大規模攻撃』
- 2026年6月、Fortinet製品に関連する大規模な認証情報漏洩事案(通称「FortiBleed」)が発覚した。その影響は世界194か国に及び、公的機関も注意喚起を発出する深刻なインシデントとなっている。
- 攻撃手法は新規脆弱性の悪用ではなく、過去のインシデントやインフォスティーラー由来の既知の認証情報を悪用し、自動化ツールを用いて24時間体制で認証試行を繰り返すというものであった。
- 企業は、認証情報管理や多要素認証(MFA)の導入をはじめとする基本的なセキュリティ対策が適切に実施されているかを継続的に点検・改善する必要がある。
第2章 『オフィスへの来訪者: オンラインで終わらないサイバー攻撃』
- ランサムウェアを使わず、ITサポート担当者を装った高度なソーシャルエンジニアリングによって機密データを窃取し、その公開を盾に金銭を要求する攻撃者グループ「UNC3753」の活動が報告された。
- 遠隔からの侵入に失敗した場合は、攻撃者が実際にオフィスを訪問し、端末に直接アクセスした上で、USBメモリ等の外部記憶媒体を使用してデータを持ち出す手口も確認されており、FBIも警告を発している。
- 本事例はサイバー攻撃がオンライン上だけで完結しないことを示している。技術的対策のみでは十分に防御できない状況が生じつつある点に留意し、組織においてはセキュリティ対策の包括的な見直しが求められる。
第3章 『BOD 26-04が示すリスクベース脆弱性対応への転換』
- CISAは6月10日にBOD 26-04を発令し、脆弱性対応について、資産の公開状況や既知の悪用状況、攻撃の自動化可能性、技術的影響という4つの要素を踏まえリスクを評価し、その結果に応じて定められた期限内に是正措置を講じることを義務付けた。
- 近年は脆弱性の増加に加え、AIの活用による攻撃の自動化と高速化が進み、脆弱性公開から攻撃までの時間も急速に短縮している。そのため、限られたリソースの中で、どの脆弱性へ優先的に対応すべきかを判断することが運用上の課題となっている。
- BOD 26-04は、従来の網羅的な対応から、リスクに応じて対応内容や対応期限を定める運用へと転換し、限られたリソースを効率的に活用するためのリスクベースの意思決定を実現することを目的としている。
FortiBleedの教訓: 認証への大規模攻撃
1.1. 概要
2026年6月、FortiGateをはじめとする、Fortinet社製品に関連した認証情報が大規模に漏洩していることが明らかになった。本事案は「FortiBleed」と命名され、影響は世界中に及んでいる。米国のCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)や日本のJPCERTコーディネーションセンター(JPCERT/CC)といった公的機関も注意喚起を発出しており、現在も侵害は進行中とみられる。[1], [2]
1.2. FortiGateとは
FortiGateは、米Fortinet社が提供するネットワークファイアウォール製品であり、世界市場において50%以上のシェアを占める。[3] 従来のファイアウォール機能やVPN機能に加え、アンチウイルス、Webフィルタリング、侵入防御システム(IPS)など複数のセキュリティ機能を統合したUTM(統合脅威管理)製品として[4] 広く利用されている。
1.3. FortiBleedについて
【事案の概要】
本事案が明るみに出る契機となったのは、セキュリティ研究者のVolodymyr "Bob" Diachenko氏が、インターネット上で公開状態となっていたサーバーを発見し、そこに保存されていた、大量のFortinet機器関連の認証情報を確認したことであった。6月13日に、同氏がこの事を自身のSNSを通じて報告すると、複数のセキュリティ企業も相次いで調査結果を公表した。
今回発見された認証情報は、攻撃者自身が実際に検証したものとみられ、その中に有効なユーザー名とパスワードが含まれていることを、セキュリティ関係者たちも確認している。
なお、「FortiBleed」は脆弱性の名称ではなく、Fortinet製品を標的として大量の認証情報を収集・検証し、不正アクセスを試みる大規模な攻撃キャンペーンを指すものであり、サイバーセキュリティ企業のSOCRadarが名付けた。

図 1 Volodymyr "Bob" Diachenko氏による投稿(抜粋)[5]
【攻撃者】
SOCRadarは、FortiBleedで使用されているツールやインフラ構成、標的の選定などに見られる特徴から、攻撃者がロシア語圏のグループである可能性が高いと分析している。[6] また、FortiBleedの攻撃者とランサムウェアグループ「INC」および「Lynx」(LynxはINCから派生した可能性あり)の関連性も指摘している。この根拠として同社は、FortiBleed関連インフラの管理者がINCとLynx両方のランサムウェア身代金交渉サイトにアクセスして被害者とやりとりを行っていたことなどを挙げている。[7] INC/Lynxは2023年頃から、北米および欧州を中心に、医療、教育、政府、製造業などの組織を標的として活動している。
今回、公開状態となっていたFortiBleed関連サーバーからは、防衛産業に属するとみられるVPN認証情報も発見されていることから、攻撃者の目的が金銭的利益にとどまらない可能性も指摘されている。
【被害規模】
侵害された機器は86,644台にのぼり、8万件以上のIPアドレスおよび2万件以上のドメインが特定されている。影響は194か国に及んでおり、特にインドと米国で被害の約3分の1を占めている。また、被害組織には売上高10億ドルを超える大企業や、多数の政府機関も含まれる。
【攻撃手法】
攻撃は以下のような流れで行われた。
Step1: 認証情報の収集
攻撃者は、過去のFortinet関連インシデント(認証回避の脆弱性等により発生)で流出したり、インフォスティーラー(情報窃取型マルウェア)によって窃取されたりした認証情報を収集した。
Step2: 自動化された認証試行キャンペーン
攻撃者は、FortiGate機器へのログインを自動化し、多数の送信元から24時間体制で認証情報の検証を行った。これにより、約32万台のFortiGateに対し、11億回を超えるログインを試したとされている。[8]
SOCRadar社の調査によると、多くの被害組織では当該機器のデフォルトのアカウント名や初期パスワードが変更されていなかった。また、Fortinet社は、多要素認証(MFA)が導入されていない機器が攻撃対象となったと推測している。[9]
一方で、本事案では非常に複雑なパスワードも多数漏洩していた(図 2)。たとえ強固なパスワードが使用されていたとしても、攻撃者が既知の認証情報を用いる場合、パスワードの複雑性のみでは十分な防御とはならない。自社の認証情報が漏洩していた場合に備えれば、MFAは不正ログイン対策として極めて重要である。

図 2 侵害された認証情報の中に含まれていた複雑なパスワードの例 [8]
Step3: 暗号化されたパスワードの解析
アクセス成功後、攻撃者はFortinet機器の構成ファイルをエクスポートし、そこに含まれる暗号化されたパスワードを抽出した。この際、多くの機器で古い暗号化アルゴリズムが使われており、パスワードの解読に対して非常に脆弱な状態であったとされている。[10] Fortinet社は2025年初頭に、より安全な暗号化アルゴリズムであるPBKDF2を導入したが、この方式はファームウェアを更新するだけでは有効とならず、管理者が再度ログインする必要があった。そのため、多くの機器で、攻撃者にとって解析が容易な古い形式のまま、パスワードが保存されていた。
Step4: パッシブ・ハーベスティング(受動的な認証情報収集)
攻撃者は侵害したFortiGateを単なる侵入経路として利用するだけでなく、同デバイスを経由する通信を傍受し、通信に含まれる認証情報を収集していた。認証情報は傍受の時点では暗号化されているが、45基のGPUクラスタ(多数のGPUサーバーを連携させて大量の計算を高速に実行する環境)を使用して解読していた。
1.4. まとめ
FortiBleedにおいてはFortiGateが主な標的となったが、攻撃者はSophos製品 [11]やMicrosoft SQL Server (MSSQL)に対しても同様の攻撃を実行していることから、あらゆる公開システムが標的となり得るといえる。
本事案は、認証情報の管理やMFAの導入など、基本的なセキュリティ対策の重要性を改めて示した事例である。インターネットに公開しているシステムにおいては、ID・パスワードのみに依存した認証は突破されることを前提に、組織は、セキュリティ対策が適切に実施されているかを定期的に点検し、改善していくことが必要である。
[1] 出典: JPCERT/CC 『Fortinet製品に関連する認証情報の漏えいに関する注意喚起』
https://www.jpcert.or.jp/at/2026/at260019.html
[2] 出典: CISA 『CISA Urges Hardening Fortinet Devices After Reports of Credential Exposure』
https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure
[3] 出典: Fortinet 『次世代ファイアウォール(NGFW)』
https://www.fortinet.com/jp/products/next-generation-firewall
[4] 出典: 株式会社 日立ソリューションズ 『FortiGate』
https://www.hitachi-solutions.co.jp/fortinet/function/fortigate/
[5] 出典: LinkedIn 『Volodymyr "Bob" Diachenko:Fortinet FortiGate Bruteforce Campaign Exposed』
https://www.linkedin.com/posts/vdyachenko_massive-fortinetfortigate-bruteforceactive-activity-7471222472193830913-YBDi
[6] 出典: SOCRadar 『FortiBleed Breach How 80,000+ Corporate Firewalls Were Quietly Compromised』
https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
[7] 出典: SOCRadar 『Is FortiBleed Linked to INC and Lynx Ransomware? All You Need to Know』
https://socradar.io/blog/fortibleed-inc-lynx-ransomware-link/
[8] 出典: HudsonRock 『FortiBleed: 75,000 Fortinet Firewalls Compromised: Global Enterprises Exposed – Claim Your Ethical Disclosure』
https://www.hudsonrock.com/blog/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure
[9] 出典: Fortinet 『Analysis of Reported Credential Compromise of FortiGate Devices』
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
[10] 出典: DoublePulsar 『FortiBleed — 75k Fortinet firewalls have admin passwords cracked』
https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8
[11] 出典: Sophos 『Advisory: Fortinet “FortiBleed” Credential Exposure and Sophos VPN Bruteforcing Campaign』
https://www.sophos.com/en-us/security-advisories/fortinet-fortibleed-credential-exposure-and-sophos-vpn-bruteforcing-campaign
オフィスへの来訪者: オンラインで終わらないサイバー攻撃
2.1. 概要
6月6日、Googleの脅威インテリジェンス部門であるMandiantは、攻撃グループ「UNC3753」による、米国の法律事務所・金融機関・専門サービス企業を標的とした大規模なデータ窃取・恐喝キャンペーンを報告した。[12] 本キャンペーンでは、電話やリモートツールを用いた侵入だけでなく、対面での接触により物理的に侵入を試みる事例も確認されている。
2.2. UNC3753について
UNC3753は2022年3月に活動を開始した金銭目的のグループであり、[12] ロシアを拠点とする可能性が指摘されている。[13] 主な標的は米国の法律事務所等である。
同グループは「Silent Ransom Group (SRG)」とも呼ばれており、[12]この呼称は攻撃手法の特徴を端的に示している。活動当初は標的組織のファイル(データ)を暗号化するランサムウェアを使用していたが、現在はファイルを一切暗号化せず、システムを停止させることもない。機密データのみを静か(Silent)に窃取し、これらを自ら運営する暴露サイト上で公開すると脅して身代金の支払いを迫る手法へと移行している。活動開始から現在に至るまで逮捕者は出ておらず、サーバー等の攻撃インフラの摘発も行われていない。[13]

図 3 UNC3753の暴露サイト
2.3. 攻撃の全体像
活動開始からしばらくの間、当グループが用いていた手法は、「サブスクリプションの更新通知」を装ったメールを標的組織の従業員に送信し、メールに記載していた電話番号へ連絡させるという、比較的単純なものであった。[12] それが最近では電話やリモートツールを組み合わせた、より高度なソーシャルエンジニアリングへと発展している。
【遠隔からの攻撃手順】
- STEP1: 偽のメールで警戒心を植え付ける
攻撃者はまず、請求書を装った無害なメールを送りつける12。このメールには悪意あるリンクや添付ファイルは含まれていない。目的は、身に覚えのない内容のメールを受信した従業員のセキュリティ上の懸念を高め、この後に仕掛ける偽の電話に対して疑いを抱かせないよう準備することである。
- STEP2: ITサポートを装った電話(ビッシング: 電話で相手を騙し、システム操作や情報提供をさせる手口)
ITサポート担当者を騙る攻撃者が従業員(STEP1で送付していたメールの受信者)に電話をかける。メールへの対応やデータ移行等における支援を口実にし、従業員の信頼を獲得したうえで、リモートアクセスや画面共有を可能とするツールをインストールするよう誘導する。ZoomやMicrosoft Teams、Quick Assistといった、通常業務でも広く使われている正規のツールを悪用するため、従業員から疑念を抱かれにくい。同グループは英語を母国語とするスタッフによるコールセンターを組織的に運営しているとみられており[13]、言語的・地理的な距離を感じさせることなく標的組織のIT担当者になりすましている。
- STEP3: 機密データの探索と窃取
従業員の端末へのアクセスが確立されると、攻撃者は契約書・個人情報・財務記録・税務書類など、組織内の機密性の高いデータを探索・収集し、窃取する。ある事例では、標的となった従業員のOneDriveフォルダから1.7ギガバイトのデータが攻撃者のGoogleドライブアカウントに送信された後、さらに仮想デスクトップ環境を経由して14.4ギガバイトもの追加データが窃取されるという被害が確認されている。
- STEP4: 脅迫メールの送付
データ窃取の完了からわずか30分以内に、身代金獲得に向け、被害組織に対して恐喝メールを送付する。文中では、「3日以内に連絡がなければ、従業員・取引先・顧客に直接通知し、暴露サイトでデータを公開する」と脅迫するだけでなく、規制当局から多額の罰金を科されたり、顧客から訴訟を起こされたりするリスクにも言及。さらには本件が組織の存続を危うくするとまで述べる、極めて攻撃的な内容である。

図 4 UNC3753の恐喝メールの例(一部) [12]
【攻撃に要する時間】
Mandiantのレポートによれば、従業員への最初の接触から、機密データを窃取して恐喝メールを送付するまでの工程が1営業日以内に完結した攻撃事例が多数確認されている他、データがわずか1時間以内に窃取された事例もあった。[12]
2.4. 攻撃の拡張: 対面での接触を伴う侵入
電話やリモートツールを用いた遠隔からの侵入が失敗した場合、当該グループは標的組織に対して対面での接触を試みる12。この手法は、ITエンジニアや技術サポートスタッフを名乗る人物が実際に標的組織のオフィスを訪問するというもの。[14] フィッシングメールの影響への対処を理由に、端末の確認やバックアップが必要であるなどと従業員に伝え、その場で端末にアクセスし、USBメモリ等の外部記憶媒体を使ってデータを持ち出す事例が確認されている。5月26日には、FBIもこの手口について警告を発した。
なお、UNC3753の拠点とは異なる国で標的組織へのオフィスに出向くことができる背景として、同グループがギグワーカー(インターネットを通じて短期・単発の業務を請け負う個人労働者)を活用している可能性があることが、セキュリティ研究者たちから指摘されており、オフィス訪問者自身が、犯罪に加担していることを認識していないケースもあるとみられる。[15]
2.5. まとめ
本事例は、サイバー攻撃がもはやオンライン上だけで完結するものではないことを示している。言語や地理的な距離といった制約を越えて実行される攻撃は、現実世界にまで影響を及ぼしており、技術的対策のみでは十分に防御できない状況が生じつつある。ログやエンドポイントの監視等の技術的な防御が高度化する一方で、オフィス等の施設へのアクセス制御は依然として人的手続きへの依存が大きい。このような防御上のギャップを突き、攻撃者が物理的な侵入といった追加的手段を取る可能性にも留意する必要がある。以上を踏まえ、組織においてはセキュリティ対策の包括的な見直しが求められる。
[12] 出典: Google Cloud 『Seeking Counsel: Ongoing Targeted Campaign Against US Law Firms』
https://cloud.google.com/blog/topics/threat-intelligence/targeted-campaign-us-law-firms?hl=en
[13] 出典: Halcyon 『THREAT ACTOR Silent』
https://www.halcyon.ai/threat-group/silent
[14] 出典: FBI FLASH 『Silent Ransom Group Impersonating IT Personnel through Social Engineering』
https://www.ic3.gov/CSA/2026/260526.pdf
[15] 出典: CyberScoop 『FBI warns US-based law firms to be on the lookout for cybercrime group that steals data in person』
https://cyberscoop.com/fbi-warning-silent-ransom-group-law-firms/
BOD 26-04が示すリスクベース脆弱性対応への転換
3.1. 概要
2026年6月10日、CISA(米サイバーセキュリティ・インフラセキュリティ庁)は運用指令「BOD 26-04」を発出した。本指令は、米国連邦機関に対し、脆弱性対応においてリスクに基づき優先順位と是正期限を決定し、その期限内に是正措置を講じることを義務付けるものである。これまで広く利用されてきたCVSSスコアを中心とした網羅的な脆弱性対応とは異なり、資産の公開状況、既知の悪用状況、攻撃の自動化可能性、技術的影響という4つの要素を踏まえてリスクを動的に評価することを義務付けている。[16]
3.2. リスクベースの脆弱性管理への転換
【CVSSによる脆弱性管理の課題】
これまでCVSS (Common Vulnerability Scoring System:共通脆弱性評価システム)は、「脆弱性の深刻度を評価するための国際的な指標」として広く利用され、継続的に改良されてきた。だが、近年は脆弱性の増加に加え、AIの活用による攻撃の自動化と高速化が進み、脆弱性公開から実際の悪用までの期間が急速に短縮している。そのため、限られたリソースの中で対応の優先順位を適切に決定することが、組織にとって重要な課題となっている。
【SSVCによる評価】
このような課題に対して、リスクベースの意思決定を実現するための枠組みとして提唱されているのが、SSVC(Stakeholder-Specific Vulnerability Categorization)である。[17]
SSVCではステークホルダー(脆弱性対応に関する意思決定を行う主体)として、脆弱性への対応を実施する組織(Deployer)、製品やサービスを提供する組織(Supplier)、脆弱性情報の共有や調整を担う組織(Coordinator)を定義しており、各ステークホルダーが、それぞれの立場や責任に応じて脆弱性対応の優先順位を決定する。

図 5 SSVCにおけるステークホルダーの分類(情報処理推進機構 [IPA]の資料より) [18]
3.3. BOD26-04の運用モデル
【BOD 26-04】
BOD 26-04は、SSVCのリスクベースの脆弱性評価・意思決定の考え方を踏まえ、CISAが米国連邦機関向けの運用に適した形で制度化した指令である。連邦機関全体で迅速かつ一貫した意思決定が行えるよう、評価項目を標準化し、評価結果に応じた対応期限を明確に定義している。
【評価方法】
SSVCが、ステークホルダーごとの意思決定を支援する汎用的なフレームワークとして、複数の評価要素を決定木形式で組み合わせて対応方針を導き出すのに対し、BOD 26-04は、連邦機関における運用を前提として評価方法を大幅に簡素化している。
例えば、SSVCの運用主体(Deployer)向け意思決定モデルでは、公開状況(Exposure)を3段階、悪用状況(Exploitation)を3段階、攻撃の自動化可能性(Automatable)を2段階、影響(Human Impact)を4段階で評価することにより、3×3×2×4の組み合わせ(72通り)の意思決定が行われる。
これに対し、BOD 26-04では、SSVCのリスクベースの意思決定の考え方を踏まえつつ、「資産の公開状況(Asset Exposure)」「既知の悪用状況(KEV Status)」「攻撃の自動化可能性(Exploit Automation)」「技術的影響(Technical Impact)」の4要素をそれぞれ2段階で評価し、16通り(2×2×2×2)の分類によって対応期限を決定する。これは、連邦機関における実運用を前提として、複雑な分岐による詳細な評価よりも、迅速かつ一貫した意思決定を重視した設計であると考えられる。

図 6 BOD 26-04における評価要素と対応期限[16]
【高リスク時の追加対応】
BOD 26-04は、対応期限の設定に加え、一部の高リスク事案に対する追加対応も定めている。具体的には、侵害の可能性があると判断した場合には、「フォレンジック・トリアージ(侵害の有無の確認等)」を実施し、システムやネットワーク基盤への影響や侵害の有無を確認する。この段階で侵害が確認された場合には、インシデント対応へ移行する。[19]
3.4. まとめ
BOD 26-04は、SSVCのリスクベースの意思決定の考え方を、連邦機関向けの実運用に適した形で具体化した取り組みといえる。4つの評価要素を用いたシンプルな評価モデルと明確な対応期限を組み合わせることで、迅速な脆弱性対応の優先順位付けを支援している。脆弱性の増加や攻撃の自動化が進む今日において、このようなリスクベースの運用モデルは、連邦機関に限らず多くの組織にとって有効な示唆を与えるものと考えられる。
以上
[16] 出典:CISA 『BOD 26-04: Prioritizing Security Updates Based on Risk』
https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk
[17] 出典:Carnegie Mellon University Software Engineering Institute CERT Coordination Center (CERT/CC) 『What is SSVC?』
https://certcc.github.io/SSVC/tutorials/ssvc_overview/
[18] 出典:独立行政法人情報処理推進機構(IPA)『脆弱性対応におけるリスク評価手法のまとめ ver1.1』
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/f55m8k0000003v30-att/f55m8k0000003v94.pdf
[19] 出典:CISA 『BOD 26-04: Implementation Guidance for Prioritizing Security Updates Based on Risk』
https://www.cisa.gov/news-events/directives/bod-26-04-implementation-guidance-prioritizing-security-updates-based-risk
免責事項
本記事の内容は、正確であることに最善を尽くしておりますが、内容を保証するものではなく、本記事の利用に起因して発生したいかなる損害、損失についても補償しませんのでご留意ください。記事内に誤植や内容の誤り、その他ご指摘等、お問い合わせ事項がある場合は、お手数ですが下記までご連絡ください。
[お問い合わせ先]
NTTセキュリティ・ジャパン株式会社
プロフェッショナルサービス部 OSINTモニタリングチーム
メールアドレス: nsj-ps-osintmonitoring@security.ntt