CVE-2026-24858: FortiOS SSOゼロデイが野外で悪用される

2026年はゼロデイ脆弱性の雪崩れ込みで始まり、サイバー防御者にとって脅威となっています。Microsoft Officeのゼロデイ（CVE-2026-21509）とCisco製品の重大な欠陥（CVE-2026-20045）が複数回野生の攻撃で利用された直後、Fortinetはさらなる重大な問題を明らかにし、脅威アクターの注目を即座に集めました。

CVE‑2026‑24858として識別されたFortiCloud SSOの欠陥は、FortiCloudアカウントと登録済みデバイスを持つ攻撃者が認証を回避し、SSOがアクティブになっているときに異なるアカウントに関連する他のデバイスにアクセス可能にします。

全体として、 2025 Verizon Data Breach Investigations Report (DBIR) は、脆弱性の利用が34%増加し、昨年の全侵害の20%を占めていることを強調します。特に、脆弱性が広く悪用されるまでの中央値が縮小しており、ゼロデイが新たな常態となり、大規模な悪用がCVEの公式発行日よりも前に頻繁に勃発しています。

SOC Primeプラットフォームに参加し、検出インテリジェンスの世界最大のハブとして、脅威の検出からシミュレーションまでの完全なパイプラインを提供し、SOCの運用を向上させ、APT、利用キャンペーン、および高度なサイバー脅威からの事前防御を可能にします。クリックして、 検出を探索 し、関連するCVEタグでフィルターされた脆弱性の利用に対処する検出ルールのキュレーションされた、コンテキストリッチなコレクションにアクセスします。

検出を探索

すべてのルールは最新の MITRE ATT&CK® フレームワークv18.1にマッピングされており、複数のSIEM、EDR、データレイクプラットフォームと互換性があります。さらに、各ルールは、 CTI 参照情報、攻撃フロー、監査設定などの広範なメタデータで強化されています。

サイバー防御者は Uncoder AI を使用して、検出エンジニアリングのワークフローを強化することもできます。生の脅威レポートを行動可能な行動ルールに変換し、検出ロジックをテストし、攻撃フローをマッピングし、IOCをハンティングクエリに変換し、またはAIと深いサイバーセキュリティ専門知識のバックアップにより、瞬時に言語を越えて検出コードを翻訳します。

CVE-2026-24858 分析

2026年1月下旬、Fortinetは CVE‑2026‑24858を開示しました。 これは、FortiOS、FortiManager、およびFortiAnalyzerの重大な欠陥で、攻撃者がFortiCloudシングルサインオン（SSO）を回避し、他のアカウントにリンクされたデバイスにアクセスすることを可能にします。この脆弱性は代替パスまたはチャネルを活用し、SSOがアクティブなシステムにリスクをもたらします。

FortiCloud SSOは新しいデバイスで自動的に有効になるわけではありませんが、GUIを介してFortiCareにハードウェアを登録する際にオンにすることができます。「FortiCloud SSOを使用した管理ログインを許可する」の登録トグルを手動で無効にしない限り、SSOはアクティブになり、デバイスが悪用される可能性があります。

この脆弱性は、少なくとも2つの悪意のあるFortiCloudアカウントによって野生の中で積極的に標的にされ、2026年1月22日にブロックされました。リスクを軽減するために、Fortinetは1月26日に一時的にFortiCloud SSOを停止し、翌日にのみパッチ済みのデバイスで復元しました。ユーザーは強く 最新バージョンにファームウェアを更新する ことが推奨されており、SSO認証を安全に継続できます。FortiWebとFortiSwitch Managerも関連するセキュリティ問題について評価されています。

この開示は、未知の脅威アクターが資格情報なしでFortiCloud SSO認証を回避する「新しい攻撃パス」を悪用した一連の攻撃に続くものです。2026年1月20日、複数のFortinet顧客が、攻撃者が彼らのFortiGateファイアウォールにアクセスし、システムが最新のFortiOSアップデートを実行しているにもかかわらず、新しいローカル管理アカウントを作成したと報告しました。これらのデバイスは、インターネットにさらされたデバイスで特別に作成されたSAMLメッセージを通じてSSOの回避を可能にする以前の脆弱性であるCVE‑2025‑59718およびCVE‑2025‑59719をすでにパッチしていました。Fortinetは、これらの最近の侵害が、新たに発見されたCVE‑2026‑24858によって引き起こされたことを確認し、FortiCloud SSO対応デバイスでの継続的な認証バイパスのリスクを強調しています。

重大な影響を及ぼす脆弱性であることから、CVE-2026-24858 には CVSS スコア 9.4 が割り当てられ、CISA の既知の悪用されている脆弱性（Known Exploited Vulnerabilities：KEV）カタログに 追加 されました。これに伴い、すべての連邦文民行政機関（FCEB）は 2026 年 1 月 30 日までに本脆弱性への対応を行う必要があります。

Fortinetは影響を受けるすべてのユーザーに対し、FortiOS、FortiManager、およびFortiAnalyzerデバイスを最新のパッチ済みバージョンに直ちに更新し、アドバイザリに記載された緩和手順に従うことを強く推奨しています。さらに、SOCチームは、 SOC PrimeのAIネイティブ検出インテリジェンスプラットフォームを活用することで防御を強化できます。このプラットフォームは、検出からシミュレーションまでの完全なパイプラインを統合し、自然言語を使用してワークフローを編成し、進化し続ける脅威状況をナビゲートしながら、大規模にセキュリティを強化することを可能にします。