2025年8月3日、GreyNoiseはFortinet SSL VPNデバイスへのbrute-force(総当たり攻撃)トラフィックを780超のユニークIPアドレスから観測した。
過去24時間でも56件を確認し、米国、カナダ、ロシア、オランダ発で、標的は米国、香港、ブラジル、スペイン、日本だった。8月5日以前は単一のTCPシグネチャによるFortiOSプロファイルが対象で、以降は異なるシグネチャでFortiManagerを標的とした。
6月には米国Pilot Fiber Inc.管理の住宅ISPブロック内FortiGate機器に関連するクライアントシグネチャが確認された。こうした活動のスパイク後6週間以内に関連CVEが開示される傾向があるという。
From: 
Fortinet SSL VPNs Hit by Global Brute-Force Wave Before Attackers Shift to FortiManager
【編集部解説】
本件は、Fortinetのエッジ系プロダクトを狙ったbrute-force(総当たり)活動が、短い期間でプロファイル横断的に変化した点に本質があります。
8月3日にFortiOS(SSL VPN)向けのトラフィックが顕著化し、8月5日以降はFortiManager(FGFM)プロファイルへと焦点が移ったことは、攻撃側のツールチェーンや運用基盤が柔軟にpivot(方向転換)可能であることを示しています。この「面から点へ、そして別の面へ」の切替は、単発の不審トラフィックではなく、攻撃指向性の強い連続した作戦行動として理解すべきです。
技術的には、GreyNoiseが用いるJA4+ベースのシグネチャやTCP/クライアント指紋の組合せ(meta signature(メタシグネチャ))が、波状的な2クラスタを識別し、ターゲットがFortiOSからFortiManagerへ移る様子を可視化しています。この観測により、同一もしくは共有基盤のツールが、エッジ向けの複数サービスに対して順次当たりを取りに行く「横持ち的スキャン/試行」を行っている可能性が高まります。
一見すると「パスワード当て」にすぎませんが、GreyNoiseのEarly Warning Signals(早期警告)研究では、こうしたスパイクの80%が6週間以内の新規CVE開示に先行する相関を示しており、特にVPNやファイアウォール、リモートアクセスなどエンタープライズのエッジ領域に限定的に観測されています。つまり、この種の活動は「ゼロデイの前哨(前振り)」や「攻撃者の在庫作成(inventorying)」として機能する局面があり、防御側にとっては事前に可動防御を高めるシグナルになり得ます。
FortiManagerへのシフトは特に重要な意味を持ちます。FortiManagerはポリシー配布や集中管理の要であり、資格情報や到達性の失陥は多拠点に連鎖するリスクを伴います。実際、Mandiantの過去調査では、FortiManager侵害により50超のデバイスから設定データが窃取された事例もあり、今回の標的変更は単なる攻撃手法の変化ではなく、攻撃者の戦略的高度化を示唆しています。
インフラ的観点では、6月の履歴に住宅系ISP(Pilot Fiber Inc.)ブロック内のFortiGateへ解決するクライアントシグネチャが見つかっており、residential proxy(住宅用プロキシ)か、在宅環境でのツール検証の可能性が示唆されています。この所見はアトリビューションを複雑化しますが、防御実務としては「レジデンシャル経路からの低ノイズ・分散的試行」を前提に、単純なASN/ホスティング除外だけに依存しない検知・遮断の工夫が必要であることを意味します。
実務上は、SSO/多要素認証の強制、管理プレーンの到達制限、API/管理チャネルのIP許可制、段階的レート制御、ログのJA4+シグネチャ相関監視、そして異常事前スパイク時の一時的ブロックリスト適用(GreyNoiseの動的リスト活用など)を組み合わせるべき局面です。規制・ガバナンス面では、「公開CVE後に動く」から「スパイク検知で先に動く」への転換がポイントであり、6週間のクリティカルウィンドウ(six-week critical window(6週間の重要期間))という定量的根拠は、経営・購買・運用における前広のリソース投入の合理化に寄与します。
【用語解説】
brute-force(総当たり攻撃)
認証情報を機械的に試行してログイン成功を目指す手法。
FortiOS
FortinetのFortiGateで動作するネットワーク/セキュリティ向けOS。
FortiManager(FGFM)
Fortinet機器群を集中管理する管理プレーン製品およびプロトコル(FGFM)。
TCPシグネチャ
通信のパケット特性から識別される固有パターンで、ツールや挙動の類似性を把握するために用いられる。
クライアントシグネチャ
接続元クライアントの挙動指紋で、TCPシグネチャと組み合わせてメタシグネチャとなる。
meta signature(メタシグネチャ)
TCPシグネチャとクライアントシグネチャを組み合わせた高精度な識別指標。
residential proxy(住宅用プロキシ)
住宅回線を経由して実IPを秘匿するプロキシ形態。
CVE(Common Vulnerabilities and Exposures)
公知の脆弱性識別子で、ベンダー横断で共有される番号体系。
Early Warning Signals(早期警告シグナル)
GreyNoiseが提唱する、攻撃スパイクが新規CVE公開に先行する傾向に関する研究フレーム。
credential stuffing(クレデンシャルスタッフィング)
流出済み認証情報の使い回し試行攻撃。
JA4+
GreyNoiseが開発したネットワーク指紋技術で、TLS接続の詳細特徴を識別する手法。
【参考リンク】
Fortinet(外部)
FortiGateやFortiManagerなどのネットワーク/セキュリティ製品を提供する企業
FortiManager(外部)
Fortinet機器のポリシー配布や運用を集中管理するツール群
GreyNoise(外部)
インターネットの背景ノイズ/攻撃トラフィックを観測・タグ化し、脅威インテリジェンスを提供
GreyNoise Fortinet SSL VPNブルートフォース研究(外部)
2025年8月3日の780超IPスパイクやFortiManagerへのシフトを技術的に解説
GreyNoise Early Warning Signals研究(外部)
攻撃スパイクの80%が6週間以内のCVE公開に先行した傾向を示す研究
【参考記事】
Coordinated Brute Force Campaign Targets Fortinet SSL VPN(外部)
2025年8月3日の780超IP観測やFortiManagerシフトの一次情報を詳説
Early Warning Signals: When Attacker Activity Precedes New Vulnerabilities(外部)
216スパイクの80%が6週間以内のCVE公開に先行したとする定量結果を提示
Fortinet SSL VPNs targeted in renewed brute-force campaign(外部)
8月3日のスパイクとFortiManagerピボットを整理し、credential-stuffing攻撃の特徴も言及
GreyNoise Intelligence Releases New Research(外部)
80%の先行相関や6週間のクリティカルウィンドウをプレス発表として要約
【編集部後記】
今回の事案で印象的だったのは、攻撃者の「学習する姿勢」です。8月3日にSSL VPNを試し、8月5日以降はFortiManagerに焦点を移す——この柔軟性は、私たち防御側も見習うべき点かもしれません。
特に注目したいのは、住宅系IPからの攻撃の痕跡です。かつては「怪しいトラフィックは海外のホスティング業者から」という固定観念がありましたが、今や身近な回線経由での攻撃が現実となっています。皆さんの組織では、こうした「見た目は普通」のアクセスをどう見分けていますか。
GreyNoiseの「6週間前兆」研究は、サイバーセキュリティ業界に新たな時間軸をもたらしました。従来の「脆弱性が公開されてから対応」ではなく、「攻撃の兆候を察知して先手を打つ」アプローチは、まさに未来志向の防御戦略です。
読者の皆さんも、職場のログを眺める際に「これって何かの前兆かも?」という視点を持ってみてください。きっと新しい発見があるはずです。次回も、技術の最前線から皆さんに有益な情報をお届けします。
