この度フォーティネット社より、下記の脆弱性情報が発表されておりますのでご案内いたします。

FortiOS、FortiManager、FortiAnalyzerにおける代替パスまたはチャネルを使用した認証バイパスの脆弱性[CWE-288]により、
FortiCloudアカウントと登録済みデバイスを持つ攻撃者が、FortiCloud SSO認証が有効になっているデバイスで、
他のアカウントに登録されている他のデバイスにログインできる可能性があります。

FortiCloud SSO認証は工場出荷時のデフォルト設定では有効化されていませんのでご注意ください。
ただし、管理者がデバイスのGUIからデバイスをFortiCareに登録する際、
登録ページで「FortiCloud SSOを使用した管理者ログインを許可する」のトグルスイッチを無効にしない限り、
登録時にFortiCloud SSO認証が有効になります。

この脆弱性は、2026年1月22日に日本国外の特定の2つのFortiCloudアカウントによって悪用されていることが確認されました。
お客様をさらなる悪用から保護するため、フォーティネットは2026年1月26日にFortiCloud側にてFortiCloud SSO認証を無効化しました。
2026年1月27日に再度有効化され、脆弱性のあるバージョンを実行しているデバイスからのログインはサポートされなくなりました。
そのため、FortiCloud SSO認証を機能させるには、下記の最新バージョンにアップグレードする必要があります。
※次の製品は調査中です: FortiWeb、FortiSwitch Manager

【影響を受けるOS バージョン】
FortiOS 7.6: 7.6.0 から 7.6.5
FortiOS 7.4: 7.4.0 から 7.4.10
FortiOS 7.2: 7.2.0 から 7.2.12
FortiOS 7.0: 7.0.0 から 7.0.18
FortiOS 6.4: 影響なし

FortiAnalyzer 7.6: 7.6.0 から 7.6.5
FortiAnalyzer 7.4: 7.4.0 から 7.4.9
FortiAnalyzer 7.2: 7.2.0 から 7.2.11
FortiAnalyzer 7.0: 7.0.0 から 7.0.15
FortiAnalyzer 6.4: 影響なし

FortiManager 7.6: 7.6.0 から 7.6.5
FortiManager 7.4: 7.4.0 から 7.4.9
FortiManager 7.2: 7.2.0 から 7.2.11
FortiManager 7.0: 7.0.0 から 7.0.15
FortiManager 6.4: 影響なし

FortiProxy 7.6: 7.6.0 から 7.6.4
FortiProxy 7.4: 7.4.0 から 7.4.12
FortiProxy 7.2: 7.2全バージョン
FortiProxy 7.0: 7.0全バージョン

【解決策】
下記記載の対策済みOS バージョン以降へのアップグレードをお願いいたします。

FortiOS 7.6: 7.6.6またはそれ以上
FortiOS 7.4: 7.4.11またはそれ以上
FortiOS 7.2: 7.2.13またはそれ以上
FortiOS 7.0: 7.0.19またはそれ以上

FortiAnalyzer 7.6: 7.6.6またはそれ以上
FortiAnalyzer 7.4: 7.4.10またはそれ以上
FortiAnalyzer 7.2: 7.2.12またはそれ以上
FortiAnalyzer 7.0: 7.0.16またはそれ以上

FortiManager 7.6: 7.6.6またはそれ以上
FortiManager 7.4: 7.4.10またはそれ以上
FortiManager 7.2: 7.2.12またはそれ以上
FortiManager 7.0: 7.0.16またはそれ以上

FortiProxy 7.6: 7.6.6またはそれ以上
FortiProxy 7.4: 7.4.13またはそれ以上
FortiProxy 7.2: 修正リリースに移行
FortiProxy 7.0: 修正リリースに移行

【回避策】
FortiCloud SSO認証は、脆弱なバージョンを実行しているデバイスからのログインをサポートしなくなりました。
したがって、現時点ではクライアント側でFortiCloud SSOログインを無効にする必要はありません。
ただし、以下の手順で無効化することも可能です。
・FortiOSおよびFortiProxyの場合:
「システム」→「設定」→「FortiCloud SSOを使用した管理者ログインを許可する」をオフにします。
または、CLIコマンドラインで以下のコマンドを入力します。

config system global
set admin-forticloud-sso-login disable
end

・FortiManagerおよびFortiAnalyzerの場合:
「システム設定」→「SAML SSO」→「管理者にFortiCloudでのログインを許可する」をオフにします。
または、CLIコマンドラインで以下のコマンドを入力します。

config system saml
set forticloud-sso disable
end

2026年1月28日現在のFortiGuard Labs発表内容を元に掲載しております。
なお、情報は適宜アップデートされることがございます。
詳細については、以下FortiGuard Labsをご参照ください。
(https://fortiguard.fortinet.com/psirt/FG-IR-26-060)