JPCERTコーディネーションセンター(JPCERT/CC)は5月9日、米国時間1月15日に公開されたForitnet製品の脆弱(ぜいじゃく)性悪用攻撃に関する注意喚起情報を更新し、改めて注意や対応を呼び掛けた。3月以降に国内で脆弱性悪用攻撃によるインシデントの発生を確認したとしている。
1月15日時点で情報公開された脆弱性は、「FortiOS」および「FortiProxy」で認証が回避されてしまう「CVE-2024-55591」になるが、Foritnetは同2月15日、これに関連するCSFリクエストによる認証回避の脆弱性「CVE-2025-24472」の情報を追加した。
Forescoutが同3月31日に公開した分析結果によると、上記2件の脆弱性を悪用するサイバー攻撃が1~3月に複数発生している。同社が「Mora_001」と名付けた攻撃者(もしくはグループ)は、該当するForitnet製品を利用する組織への初期侵入に上記2件の脆弱性を悪用し、権限昇格や新たなアカウントを不正に作成するなどして、侵入先組織の環境に潜伏、探索を行う。VPN回線などのネットワーク環境や組織のデータ資産などを把握した上で、「SuperBlack」と呼ばれる新種のランサムウェアを実行。データ資産の窃取と暗号化による二重脅迫により、組織に金銭の支払いを要求するという。
Forescoutによれば、Mora_001はロシアとの関連が疑われ、SuperBlackについても悪名高いランサムウェア攻撃組織「LockBit」が用いた手法などに手を加えて実践している様子が見られるという。
JPCERT/CCは、国内でも3月以降にこうした攻撃に関連するインシデントが発生していることに加え、「今後もさまざまな攻撃に悪用される可能性があるため、速やかな侵害調査および対策の実施を推奨する」と呼び掛けた。
Foritnetは、これらの脆弱性を修正したアップデートを既に公開しており、ユーザーに早期の適用を推奨している。
