FortiAnalyzer 7.0FortiCloud SSO(シングルサインオン)認証機能に関する脆弱性(FG‑IR‑26‑060) が公開されました。
■概要
本脆弱性は、FortiOS / FortiManager / FortiAnalyzer などで FortiCloud SSO 認証を有効にしている場合に、攻撃者が別アカウントの機器へログインできてしまう可能性があるというものです。
※初期設定では FortiCloud SSO は無効ですが、GUI から FortiCare 登録を行う際に、管理者が無効化しない限り自動的に有効になります。
Fortinet によれば、本脆弱性は実際に悪用された事例が確認されており、悪用した FortiCloud アカウントはすでに無効化されたとのことです。
■ Fortinet の対応
2026年1月26日、Fortinet は追加の悪用を防ぐため FortiCloud SSO をサーバ側で一時的に無効化。FortiCloud SSO認証は、影響のあるOSバージョンを実⾏している機器からのログインを無効化いたしております。
■対象製品と影響バージョンおよび修正バージョン
| 対象製品 | 影響を受けるバージョン |
解決バージョン(=アップグレード推奨先) |
| ■FortiOS | ||
| FortiOS7.6 | 7.6.0 から 7.6.5 | 7.6.6以降にアップグレードして下さい |
| FortiOS7.4 | 7.4.0 から 7.4.10 | 7.4.11以降にアップグレードして下さい |
| FortiOS7.2 | 7.2.0 から 7.2.12 | 7.2.13以降にアップグレードして下さい |
| FortiOS7.0 | 7.0.0 から 7.0.18 | 7.0.19以降にアップグレードして下さい |
| FortiOS6.4 | 影響を受けない | 適用できない |
| ■FortiAnalyzer | ||
| FortiAnalyzer 7.6 | 7.6.0 から 7.6.5 | 7.6.6以降にアップグレードして下さい |
| FortiAnalyzer 7.4 | 7.4.0 から 7.4.9 | 7.4.10以降にアップグレードして下さい |
| FortiAnalyzer 7.2 | 7.2.0 から 7.2.11 | 7.2.12以降にアップグレードして下さい |
| FortiAnalyzer 7.0 | 7.0.0 から 7.0.15 | 7.0.16以降にアップグレードして下さい |
| FortiAnalyzer 6.4 | 影響を受けない | 適用できない |
| ■FortiManager | ||
| FortiManager 7.6 | 7.6.0 から 7.6.5 | 7.6.6以降にアップグレードして下さい |
| FortiManager 7.4 | 7.4.0 から 7.4.9 | 7.4.10以降にアップグレードして下さい |
| FortiManager 7.2 | 7.2.0 から 7.2.11 | 7.2.13以降にアップグレードして下さい |
| FortiManager 7.0 | 7.0.0 から 7.0.15 | 7.0.16以降にアップグレードして下さい |
| FortiManager 6.4 | 影響を受けない | 適用できない |
| ■FortiProxy | ||
| FortiProxy 7.6 | 7.6.0 から 7.6.4 | 7.6.6以降にアップグレードして下さい |
| FortiProxy 7.4 | 7.4.0 から 7.4.12 | 7.4.13以降にアップグレードして下さい |
| FortiProxy 7.2 | 7.2 すべてのバージョン | 7.4.13以降もしくは7.6.6以降にアップグレードして下さい |
| FortiProxy 7.0 | 7.0 すべてのバージョン | 7.4.13以降もしくは7.6.6以降にアップグレードして下さい |
■ お客様へのお願い
脆弱性のあるOSバージョンを実行している機器からのFortiCloud SSO 認証を使用したログインは無効化されておりますが、脆弱性に関わる内容となるため、早急なアップグレード対応を強く推奨いたします。
・FortiCloud SSO を利用している場合:
→ 速やかに該当機器のファームウェアを最新推奨バージョンへアップグレードして下さい。
・FortiCloud SSO を利用していない場合:
→ 当面のリスクは限定的ですが、安定運用のためアップグレードを推奨いたします。
■回避策
脆弱性のあるバージョンを実行している機器からは、FortiCloud SSO 認証を使用したログインがすでにサポートされなくなっています。
そのため、現時点ではクライアント側で FortiCloud SSO ログインを無効化する必要はあり
ませんが、もし手動で無効化したい場合は、以下の方法で設定が可能です。
・ GUI からの設定方法
1. System(システム) → Settings(設定) へ移動
2. 「Allow administrative login using FortiCloud SSO」 を Off(無効) に切り替える
・ CLI からの設定方法
以下のコマンドを実行:
config system global
set admin-forticloud-sso-login disable
end
■詳細情報
本件に関する詳細は、Fortinet社の公式発表をご確認下さい。
[Fortinet PSIRT Advisory FG IR 26 060] https://fortiguard.fortinet.com/psirt/FG-IR-26-060
■お問い合わせについて
ご不明点がございましたら、以下までお問い合わせ下さい。
※有効な契約のあるシリアル番号をご記載下さい。
NVCカスタマーサポート nvc-tac@nvc.co.jp (弊社営業日9:00~17:00)