フォーティネットは2025年12月24日、FortiGateファイアウォールにおいて、2020年7月にパッチが提供された脆弱性CVE-2020-12812がサイバー犯罪者によって現在も悪用されていることを発表した。
この脆弱性は、FortiGateデバイスがユーザー名を大文字小文字を区別して処理する一方、LDAPサーバーは区別しないという不一致に起因する。攻撃者はユーザー名の大文字小文字を変更することで二要素認証(2FA)をバイパスし、VPNや管理コンソールへの不正アクセスを可能にする。
フォーティネットのPSIRTチームは2025年12月24日のブログ投稿でこの攻撃を詳述し、管理者に設定の監査を促した。脆弱性はFortiOS 6.0.10、6.2.4、6.4.1で修正されたが、パッチ未適用または設定ミスのデバイスが実環境に残存している。緩和策として、ファームウェアのアップグレード、大文字小文字の区別の無効化、不要なLDAPグループの削除、ログの監査が推奨されている。
From: 
Hackers Exploiting Three-Year-Old FortiGate Vulnerability to Bypass 2FA on Firewalls
【編集部解説】
今回報じられているCVE-2020-12812は、2020年7月に修正プログラムが提供されたにもかかわらず、2025年12月24日に実際の攻撃が確認されたとして警告が発表されたという点で注目に値します。フォーティネット公式によれば、同社は全世界のファイアウォール市場で50%以上のシェアを持ち、77万5000社以上の顧客を抱えています。その規模を踏まえると、本脆弱性の影響範囲は極めて広範と言えます。
この脆弱性の本質は、技術的には比較的シンプルなものです。FortiGateがユーザー名を大文字小文字を区別して処理する一方、LDAPサーバーは区別しないという、システム間の認識のずれが原因となっています。攻撃者は「jsmith」を「Jsmith」に変えるだけで二要素認証を回避できるのです。
重要なのは、この攻撃が成功するには特定の設定条件が揃う必要があるという点です。ローカルユーザーに2FAが設定されており、かつそのユーザーがLDAPグループのメンバーであり、そのグループがファイアウォールポリシーで使用されている、という3つの条件が揃って初めて悪用可能になります。つまり、すべてのFortiGate環境が危険というわけではありません。
しかし、この「特定条件下でのみ発生する」という特性が、逆に問題を深刻化させている側面があります。管理者が「自社の環境は該当しない」と誤認したり、設定監査を怠ったりすることで、パッチ適用から5年以上経過した現在でも脆弱な環境が残存しているのです。
この事案は、サイバーセキュリティにおける「設定管理の重要性」を改めて浮き彫りにしています。最新のファームウェアを適用していても、設定が適切でなければセキュリティは担保されません。特にLDAPとの連携のような、複数システムにまたがる認証機構では、それぞれのシステムの仕様差異を理解した上で設定を行う必要があります。
企業のセキュリティ担当者にとって、この事案から学ぶべき教訓は明確です。パッチ適用は必要条件であっても十分条件ではないということ、そして定期的な設定監査とログ分析が不可欠だということです。フォーティネットが推奨する緩和策は技術的には単純ですが、それを確実に実施し、継続的に監視する体制の構築こそが、真のセキュリティ強化につながります。
【用語解説】
LDAP(Lightweight Directory Access Protocol)
ユーザー情報や組織構造などのディレクトリ情報にアクセスするためのプロトコル。企業ネットワークでは、Active DirectoryなどのLDAPサーバーが認証基盤として広く利用されている。
Active Directory(AD)
マイクロソフトが提供するディレクトリサービス。企業内のユーザーアカウント、コンピューター、グループなどを一元管理し、認証や権限管理を行う。
VPN(Virtual Private Network)
インターネット上に仮想的な専用回線を構築し、安全な通信を実現する技術。リモートワーク環境において、社外から社内ネットワークへ安全にアクセスするために使用される。
SSL/IPsec VPN
VPNの実装方式。SSLはWebブラウザベースで手軽に利用でき、IPsecはより高度なセキュリティを提供する。FortiGateは両方式に対応している。
PSIRT(Product Security Incident Response Team)
製品のセキュリティインシデントに対応する専門チーム。フォーティネットのPSIRTは、自社製品の脆弱性情報の公開と対応を担当している。
FortiOS
フォーティネット製品に搭載されているオペレーティングシステム。ファイアウォール、VPN、ルーティングなどの機能を統合的に提供する。
【参考リンク】
Fortinet(フォーティネット)(外部)
世界市場で50%以上のシェアを持つネットワークセキュリティ企業。77万5000社以上の顧客にFortiGate製品を提供。
FortiGate製品ページ(外部)
次世代ファイアウォールFortiGateの公式製品ページ。製品仕様や機能、導入事例などの情報を掲載。
NVD – CVE-2020-12812(外部)
米国国家脆弱性データベースにおける公式情報。CVSS v3.1スコア9.8(Critical)と評価。
FortiGuard PSIRT Advisory(外部)
フォーティネットの脆弱性情報データベース。FG-IR-19-283の公式アドバイザリを提供。
【参考記事】
Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283(外部)
フォーティネット公式ブログ。2025年12月24日公開の技術解析と緩和策の詳細。
Fortinet Warns of Active Exploitation of FortiOS SSL VPN 2FA Bypass Vulnerability(外部)
CVE-2020-12812の実攻撃状況と攻撃成功に必要な3つの設定条件を詳述。
Fortinet Named a Leader in The Forrester Wave™: Enterprise Firewall Solutions, Q4 2024(外部)
フォーティネットの市場シェア50%超、顧客数77万5000社という影響範囲のデータを提供。
Technical Tip: Description of CVE-2020-12812 and remediation options(外部)
フォーティネットコミュニティによる技術詳細。FortiAuthenticatorを使用した根本的解決方法を提示。
【編集部後記】
5年前に修正された脆弱性が今なお悪用されているという事実は、私たち全員にとって重要な示唆を含んでいます。パッチを適用しただけで安心していませんか?設定の見直しは定期的に行われているでしょうか。
特にLDAPやActive Directoryと連携している認証基盤をお使いの方は、一度ご自身の環境を確認してみる価値があるかもしれません。セキュリティは「一度対策すれば終わり」ではなく、継続的な見直しと監視が不可欠です。皆さんの所属する組織では、どのような設定監査の仕組みを取り入れていますか?
