■ 本記事はこんな方におすすめ
- FortiGate(FortiOS)、FortiManager、FortiAnalyzer などフォーティネット製品をご利用中の方
- 最近ニュースで見た「認証バイパスの脆弱性」が自社に影響するか気になっている方
- 自社機器がアップデート対象かどうか、初めて確認しようとしている方
本日は上記のような方に向けて、最新の情報をお届けします。
■ 基本情報(2026年1月28日時点)
| 項目 | 内容 |
|---|
| 公開日 / 更新日 | 2026年1月22日 / 2026年1月27日 付近(FortiGuard Labs 公開情報に基づく) |
|---|
| 記事種別 | セキュリティ脆弱性情報 |
|---|
| KB番号 / CVE番号 | FG-IR-26-060(CVE番号は現時点で未公表) |
|---|
| 影響範囲 | FortiOS / FortiManager / FortiAnalyzer / FortiProxy の一部バージョン |
|---|
■ 発生している事象
フォーティネット社の発表によると、FortiOS をはじめとする複数製品において
「代替パスまたはチャネルを使用した認証バイパスの脆弱性(CWE-288)」 が確認されています。
この脆弱性が悪用されると、攻撃者が 自分の FortiCloud アカウントを利用して、別のアカウントに登録されているデバイスへログインできてしまう可能性 があります。
特に以下の点が注意すべきポイントです:
- FortiCloud SSO認証が有効になっている場合に影響が出る可能性があります
- 初期設定では FortiCloud SSO認証は無効ですが、デバイス登録の際の操作によって自動的に有効になる場合がある と案内されています
■ 原因(公式発表に基づく)
FortiCloud SSO 認証周りの仕組みにおいて、
特定条件下で 本来通るべき認証手順とは異なる経路(代替パス)で認証が成立してしまう可能性があった ことが原因とされています。
■ フォーティネット社の対応状況
- 2026年1月22日
日本国外の特定の FortiCloud アカウント 2件で、この脆弱性の悪用が確認されました。
- 2026年1月26日
フォーティネット社が FortiCloud 側で SSO 認証を一時的に無効化 し、悪用を阻止。
- 2026年1月27日
FortiCloud SSO 認証を再度有効化。
ただし、脆弱性のあるバージョンを実行しているデバイスからのログインは拒否される仕様に変更 されました。
現在のステータス:
FortiCloud SSO 自体は利用可能ですが、
脆弱性が修正された最新バージョンへアップグレードしなければログインできません。
■ 影響を受けるバージョン
(ご提供データをもとにそのまま整理しています)
● FortiOS
- 7.6.0 ~ 7.6.5
- 7.4.0 ~ 7.4.10
- 7.2.0 ~ 7.2.12
- 7.0.0 ~ 7.0.18
● FortiAnalyzer
- 7.6.0 ~ 7.6.5
- 7.4.0 ~ 7.4.9
- 7.2.0 ~ 7.2.11
- 7.0.0 ~ 7.0.15
● FortiManager
- 7.6.0 ~ 7.6.5
- 7.4.0 ~ 7.4.9
- 7.2.0 ~ 7.2.11
- 7.0.0 ~ 7.0.15
● FortiProxy
- 7.6.0 ~ 7.6.4
- 7.4.0 ~ 7.4.12
- 7.2:全バージョン
- 7.0:全バージョン
影響なし(調査済み)
- FortiOS 6.4
- FortiAnalyzer 6.4
- FortiManager 6.4
調査中(2026/1/28時点)
- FortiWeb
- FortiSwitch Manager
■ 対策済みバージョン(アップグレード推奨)
● FortiOS
- 7.6:7.6.6以上
- 7.4:7.4.11以上
- 7.2:7.2.13以上
- 7.0:7.0.19以上
● FortiAnalyzer
- 7.6:7.6.6以上
- 7.4:7.4.10以上
- 7.2:7.2.12以上
- 7.0:7.0.16以上
● FortiManager
- 7.6:7.6.6以上
- 7.4:7.4.10以上
- 7.2:7.2.12以上
- 7.0:7.0.16以上
● FortiProxy
- 7.6:7.6.6以上
- 7.4:7.4.13以上
- 7.2:修正リリースへの移行が必要
- 7.0:修正リリースへの移行が必要
■ すぐにできる回避策
フォーティネット社によれば、
現時点で 必ず無効化しなければならない状況ではない としています。
ただし、お客様の判断で FortiCloud SSOログインを無効化することも可能 です。
● FortiOS / FortiProxy
GUI:
「システム」 → 「設定」 →
『FortiCloud SSOを使用した管理者ログインを許可する』をオフ
CLI:
config system global
set admin-forticloud-sso-login disable
end
● FortiManager / FortiAnalyzer
GUI:
「システム設定」 → 「SAML SSO」 →
『管理者にFortiCloudでのログインを許可する』をオフ
CLI:
config system saml
set forticloud-sso disable
end
■ 注意点・補足
- 本記事は 2026年1月28日時点の FortiGuard Labs 公開情報 に基づいています。
今後内容が更新される可能性があります。
- FortiWeb、FortiSwitch Manager は調査中と発表されています。
- FortiProxy 7.0 / 7.2 系統では、バージョンアップではなく 修正リリースへの移行 が必要と案内されています。
■ まとめ
今回の脆弱性は、特定の条件下で認証手順が迂回されてしまう可能性がある点で注意が必要ですが、
フォーティネット社はすでに段階的な対策を実施しており、
最新バージョンへアップグレードすることで安全にご利用いただける状態となっています。
ご利用の製品が影響範囲に含まれる場合は、
お早めに「最新バージョンへの更新」または「SSO無効化」をご検討ください。
ご不明点がございましたら、どうぞお気軽にお問い合わせください。
■ 免責事項・商標について
- 本記事は、公開情報をもとに一般向けの情報提供を目的として作成しています。
内容の正確性には注意を払っていますが、最終的な判断は必ず公式情報をご確認ください。
- Fortinet、FortiGate、FortiManager、FortiAnalyzer などの名称は、フォーティネット社の商標または登録商標です。
