【経営者向け要約版】
5年前の脆弱性が今も悪用される理由
FortiGate認証回避攻撃が示す経営リスク

サイバーレジリエンス株式会社
※本号はAIで執筆した文章を筆者が監修しています。

【要約版】

2026年1月現在、2020年7月に修正済みのFortiGate脆弱性（CVE-2020-12812 / FG-IR-19-283）が世界中で悪用され続けています。
一見すると「5年前の問題」に見えますが、世界で1万台以上が未対策のまま稼働しており、
医療・製造・流通などの重要インフラを麻痺させる攻撃の入口となっています。

本当に重要なのは
「なぜ修正済みなのに悪用されるのか」
「あなたの会社は何を確認すべきか」
この2点です。

今回は、つるぎ町半田病院やジャガー・ランドローバー社の実例を踏まえて
企業が今すぐ取るべき対策を整理します。

【詳細版】

■ 「修正済み」は"安全"ではない

FortiGate CVE-2020-12812（Fortinet識別番号：FG-IR-19-283）は、二要素認証を回避してVPN/管理者権限を奪取できる脆弱性です。
2020年7月13日に修正プログラムが公開されましたが、
米国FBI・CISAは2021年4月時点で、ランサムウェア攻撃グループと国家支援型攻撃者（APT）が積極的に悪用していると警告しています。

ただし、セキュリティの観点では「パッチ公開＝対策完了」ではありません。

【追加情報】重要な被害事例

• つるぎ町半田病院（2021年10月31日）

• ジャガー・ランドローバー社（2025年）
自社工場の生産停止だけでなく、サプライヤー企業にも被害が波及。
サプライヤーの4社に1社で従業員の一時解雇が発生し、
英国政府が約3,000億円の融資保証を実施する事態に。

• アサヒグループHD・アスクル（2025年秋）
食品流通・オフィス用品流通に影響。攻撃発覚から3ヶ月経過も完全復旧せず。

■ 多くの企業が見落としがちな3つのリスク

① 影響範囲の判断ミス → 「うちは関係ない」と誤認

この脆弱性は「LDAP認証＋二要素認証（FortiToken）」という特定構成でのみ発生します。
そのため、自組織が該当するかどうかの判断が難しく、
「うちは大丈夫」と誤認してしまうケースが少なくありません。

② アップデートの先送り → 業務影響を懸念して「いつか」が「やらない」に

境界防御機器のアップデートは、ネットワーク全体の停止を伴います。
24時間365日稼働が求められる医療・製造・物流では実施タイミングが限定的で、
「緊急性が見えにくい」ため優先度が下がりがちです。

③ サプライチェーン全体への波及 → 自社の被害が取引先を止める

経産省/IPAの調査では、被害企業の約7割で取引先にも影響が波及しています。
ジャガー・ランドローバー社の事例が示すように、
一企業の脆弱性が、業界全体の雇用と経済に影響を及ぼす時代です。

■ 現在の脅威状況：1万台以上が未対策

■ Fortinet製品を狙う最新の攻撃傾向

BleepingComputerの分析によると、Fortinetの脆弱性は攻撃で頻繁に悪用されています：

• 2025年12月：CVE-2025-59718（認証回避）がSSOログインを通じて管理者アカウントを乗っ取るために既に悪用されている
• 2025年11月：FortiWebゼロデイCVE-2025-58034が積極的に悪用
• 2025年2月：中国のVolt Typhoon脅威グループが2つのFortiOS欠陥を悪用してオランダ国防省の軍事ネットワークをバックドア化

■ 今、経営層が確認すべきこと（最低限）

✅ 即時確認（今週中）

• 自社のFortiGate機器のバージョン確認（6.0.9以前、6.2.0～6.2.3、6.4.0は脆弱）
• LDAP認証＋二要素認証（FortiToken）の併用構成かどうかをIT部門に確認
• 過去の認証ログに不審なアクセス記録がないか調査指示

✅ 対策実施（今月中）

• FortiOS 6.0.10 / 6.2.4 / 6.4.1 以降へのアップデート計画策定
• アップデートが困難な場合は設定による暫定対策（username-case-sensitivityの無効化）
• VPN接続元IPアドレスの制限、監視体制の強化

✅ 体制整備（今四半期中）

• 重要業務の優先順位付け（どのシステムを最優先で復旧するか）
• バックアップからの復旧手順の確認と訓練
• インシデント発生時の意思決定フロー（誰が何を判断するか）
• 2026年度開始予定の経産省セキュリティ格付け制度への準備

■ 2026年度の制度変更：取引条件に影響

経済産業省は2025年12月、
「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築方針を公表しました。
2026年度から正式に運用開始される見込みです。

この制度では、企業のセキュリティ対策レベルを★3〜★5の段階で評価・公開します。
発注側企業は、取引先選定の際にこの格付けを参考にすることが想定されており、
未対策企業は取引機会を失うリスクが高まります。

■ 最後に

今回のFortiGate脆弱性の事例は、
「狙われた企業だけが止まるわけではない」
という現実を、あらためて突きつけました。

重要な教訓：

• 5年前の脆弱性が今も悪用され続けています（2025年12月にFortinet公式が警告）
• 医療・製造などの重要インフラが狙われています（つるぎ町半田病院：CVE-2018-13379未修正により87,000件の認証情報が流出、85,000人の患者記録が被害）
• サプライチェーン全体に影響が波及します（ジャガー社：4社に1社で一時解雇）
• 2026年度から格付け制度が取引条件に影響します

サイバー攻撃は
いつ起きるかではなく、起きた時にどう耐えるかが問われています。

もし
• 自社のFortiGate機器のリスクを確認したい
• 取引先を含めた影響範囲を知りたい
• 机上の対策ではなく、実務目線で確認したい

という場合は、個別にご相談ください。
「再発しない会社」にするための整理を、一緒に行うことができます。

※2026年1月時点の情報です。
最新情報は公式サイトで確認してください。

■ 参考情報

• Fortinet PSIRT Advisory: FG-IR-19-283（CVE-2020-12812）
• Fortinet PSIRT Advisory: FG-IR-18-384（CVE-2018-13379・半田病院事例関連）
• Fortinet公式ブログ - 2025年12月24日の悪用警告
• Fortinet公式ブログ - 2021年9月8日「Malicious Actor Discloses FortiGate SSL-VPN Credentials」
• CISA KEV（既知の悪用された脆弱性）カタログ
• FBI/CISA Joint Advisory（2021年4月2日）
• BleepingComputer - 2025年12月27日報道「Over 10K Fortinet firewalls exposed」
• つるぎ町半田病院 事故調査報告書（2022年6月7日）
• eSecurity Planet - 87,000件の認証情報流出報道（2021年9月）
• Malwarebytes - 500,000 Fortinet VPN credentials exposed（2021年9月）

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

****************************
サイバーレジリエンス株式会社
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: [email protected]
https://japan-resilience.co.jp/cyber
****************************