FBIが「フォーティネット製品の脆弱性を利用したハッカーが地方自治体のサーバーを侵害した」と発表

コンピューターネットワークをウイルスやハッキングなどの脅威から効率的かつ包括的に保護するための統合脅威管理製品を開発・提供するフォーティネットの仮想アプライアンスがハッキングされ、アメリカの地方自治体が運用するウェブサーバーが侵害されたと連邦捜査局(FBI)が発表しました。

Alert Number MI-000148-MW
(PDFファイル)https://www.ic3.gov/Media/News/2021/210527.pdf

FBI says an APT breached a US municipal government via an unpatched Fortinet VPN | The Record by Recorded Future
https://therecord.media/fbi-says-an-apt-breached-a-us-municipal-government-via-an-unpatched-fortinet-vpn/

FBI: APT hackers breached US local govt by exploiting Fortinet bugs
https://www.bleepingcomputer.com/news/security/fbi-apt-hackers-breached-us-local-govt-by-exploiting-fortinet-bugs/

現地時間の2021年5月27日、フォーティネットの仮想アプライアンスに存在する脆弱性を利用したAPT攻撃の存在をFBIが警告しました。

FBIによると、ハッカーはフォーティネットの仮想アプライアンスへの攻撃を通じてアメリカの地方自治体のドメインをホストするウェブサーバーにアクセスしているとのこと。なお、APT攻撃を仕掛けてきたハッカーは「elie」という名前のアカウントを作成することで、ネットワーク上で悪意のある攻撃を可能にしたとFBIは記しています。

今回のAPT攻撃を仕掛けたハッカーは、FBIが2021年4月に警告した「フォーティネットの提供する製品に存在する脆弱性」を悪用して攻撃を仕掛けています。FBIと国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の調査によると、今回の攻撃に利用された脆弱性は以下の3つです。

・CVE-2018-13379
・CVE-2020-12812
・CVE-2019-5591

APT攻撃が成功すると、ハッカーは被害者の運用する内部ネットワークにアクセス可能になるとのこと。そのため、「地方自治体のドメインをホストするウェブサーバーを経由して、データ漏えいやデータ暗号化、その他の悪意のある攻撃を行うことが可能になる」とFBIは説明しています。

また、ハッカーは複数の分野にわたる広範な組織に対して積極的に攻撃を仕掛けているため、「特定の分野に対して攻撃を仕掛けることを目的としているわけではなく、脆弱性を利用することを目的としている」とFBIは記しました。

なお、FBIは2021年4月に脆弱性の存在を発表した時点で、フォーティネットの製品を使用している政府機関に向けてパッチを適用するように警告していました。しかし、警告もむなしく今回のAPT攻撃が仕掛けられてしまったということになります。

地方自治体のウェブサーバーを標的に攻撃を仕掛けているハッカーは、パッチが適用されていないフォーティネットのサーバーを対象に、長年にわたって攻撃を繰り返してきたとみられており、過去には選挙支援システムへの攻撃なども行っているそうです。