🧠 概要と背景

2025年8月初旬、Fortinet製品に対する異常なブルートフォース攻撃が2回記録されました。GreyNoiseによると、こうしたスパイクはゼロデイ脆弱性の公開に先行する可能性が高く、特にFortinetのようなエッジセキュリティ製品はAPT（高度な持続的脅威）による標的になりやすいとされています。

攻撃は単なる旧脆弱性の再利用ではなく、**新たなゼロデイの兆候**として扱うべきです。特に、攻撃の第2波ではSSL VPNからFortiManagerのFGFMサービスへとターゲットが切り替わっており、ツールまたはインフラの再利用が示唆されています。

📊 攻撃スパイクのグラフ

📋 攻撃の技術的特徴

🚫 ブロック推奨IPアドレス

これらのIPはGreyNoiseによって悪意ある活動と関連付けられており、即時ブロックが推奨されます。

🛡️ 防御策と推奨アクション

• Fortinet製品へのログイン保護を強化（MFA、多段階認証、レート制限）
• 外部アクセスは信頼できるIPレンジやVPN経由に限定
• 上記IPアドレスをファイアウォール、IDS/IPSで即時ブロック
• ログ監査を強化し、異常な試行回数や失敗ログインを検出
• 今後6週間以内のゼロデイ公開に備え、パッチ監視と脆弱性情報の収集を継続

🧩 補足：GreyNoiseの分析と警告

GreyNoiseは、こうしたスパイクが「研究目的のスキャン」ではなく、明確な侵入目的のブルートフォースであると断定しています。特に、活動の発信元が住宅IPである点から、ツールのテストやプロキシ経由の攻撃が疑われます。

「このタグをトリガーする活動は、Fortinet製品に対する将来的な脆弱性公開と強く相関している」とGreyNoiseは警告しており、単なる失敗スキャンとして軽視すべきではありません。