FortiBleed事件に学ぶ:Fortinet侵害とフィリピン拠点のセキュリティ対策
世界7万台超のFortinetファイアウォールが侵害されたFortiBleed事件を解説。フィリピン進出を検討する日本企業や在フィリピン日本人向けに、現地拠点の認証情報防衛、多要素認証の導入手順、NPC報告義務への備えを実務目線でまとめました。
運営者・AIエンジニア / IT歴36年以上・マニラ在住13年以上
FortiBleed事件に学ぶ:Fortinetファイアウォール7万台侵害とフィリピン拠点の認証情報防衛
世界7万台のファイアウォールが侵害されたFortiBleed事件を題材に、フィリピン拠点を守る認証情報の管理と多要素認証の導入手順を、現地事情に即してわかりやすく解説します。
Part 1: このテーマが重要な理由
Step 1: フィリピンビジネスでの背景 (3分)
フィリピンに進出する日本企業の多くは、現地拠点のネットワークの入口に「ファイアウォール」と呼ばれる防御機器を置いています。なかでもFortinet社のFortiGateという製品は、コールセンターや、製造業の工場、日系企業のバックオフィスなど、幅広い現場で使われています。この入口の機器は、外からの攻撃を止める最初の壁の役割を果たします。
今回報じられたFortiBleed(フォーティブリード)という事件は、その壁が世界規模で破られたという内容です。記事によると、フィリピンでも857台の機器が侵害されたと報告されており、被害が大きかった上位30カ国に入っています。つまり、これは遠い海外だけの話ではありません。
日本企業やフィリピン在住の日本人ビジネスパーソンにとって、この事件には三つの意味があります。第一に、現地のITは地元のベンダー(外部の業者)に任せきりになりがちで、自社が機器の状態を把握できていない場合が多い点です。第二に、入口を破られると社内の顧客データや人事情報まで届いてしまう点です。第三に、フィリピンでは個人データが漏れた場合に国家プライバシー委員会(NPC)への報告義務があり、対応が遅れると企業の信頼と法令順守の両面で問題になる点です。
「先週のニュース、見ましたか。Fortinetのファイアウォールが世界で7万台以上も乗っ取られたそうです。フィリピンでも857台が被害に入っているとか。うちのマニラ拠点の機器、いつ更新したか分かりますか。今日のうちに現地のITベンダーに確認してもらいましょう。」
マニラのオフィスで、こんな会話を同僚と交わす場面を思い浮かべてください。この一言が、自社を守る最初の行動になります。
Step 2: 元記事の要点を整理する (5分)
元記事で報じられた事実を、学習用に表へまとめました。数字や企業名は記事に基づいています。
| 観点 | 主なポイント |
|---|---|
| 事件の規模 | 194カ国で73,932台のファイアウォールURLが侵害され、21,632のドメインが影響を受けた |
| 全体に占める割合 | ネットに接続されたFortinet機器の、およそ半分にあたるとされる |
| 攻撃の総量 | FortiGate機器32万台超へ約11.6億回、MSSQLサーバー16万台超へ約21億回の総当たり攻撃 |
| 攻撃者 | ロシア語を話す、複数人で構成された犯罪グループ |
| 主な手口 | 機器の設定ファイルを抜き取り、45台の画像処理用半導体(GPU)を束ねた装置でパスワードを解読 |
| 攻撃後の動き | 入口を破った後、社内のユーザー管理システムへ侵入して居座る |
| 弱点の正体 | 古い方式(SHA-256)でパスワードを保存していた機器が、解読されやすかった |
| 被害企業の例 | Foxconn、Samsung、Comcast、Siemens、Lenovo、PwC、Accenture、Oracle ほか多数 |
| 確認された深刻な被害 | 日本、台湾、ベトナム、イラク、トルコで完全な侵入を確認 |
| フィリピンの被害 | 857台が侵害され、被害の大きい上位30カ国に入る |
| 公開日 | 2026年6月17日 |
この表は学習目的で公開情報の事実をもとに作成したものです。詳細は上記リンクの元記事をご確認ください。
関連: フィリピンでAIを導入したい日本人経営者が知るべき実践ガイド で詳しく解説しています。
Step 3: 理解度チェック (5分)
記事の内容を確認する問題です。考えてから読み進めてください。
Q1. 今回侵害されたファイアウォールは、ネットに接続されたFortinet機器の全体のうち、およそ何割にあたるとされていますか。 ヒント:記事では「およそ半分」と表現されています。
Q2. 攻撃者がパスワードを破る際に使った、45台規模の専用設備とは何でしたか。 ヒント:本来は画像処理に使う半導体を、たくさん束ねた計算装置です。
Q3. 強くて複雑なパスワードを設定していても、今回の攻撃で破られてしまった主な理由は何でしたか。 ヒント:パスワードが平文(暗号化されていない、そのままの文字列)で盗まれていた点に注目してください。
Q4. フィリピンでは何台の機器が侵害されたと報告されていますか。 ヒント:800台台の数字です。
Q5. 記事が勧める対策のうち、盗まれた平文パスワードを役に立たなくできる仕組みは何でしたか。 ヒント:パスワードに加えて、もう一つの本人確認を求める仕組みです。
関連: AI導入ロードマップの作り方|フィリピン拠点の日本企業が失敗しないための実践ガイド で詳しく解説しています。
Part 2: 実務への応用
Step 4: フィリピンでの導入ステップ (10分)
今回の事件を教訓に、フィリピン拠点で守りを固めるための手順です。一度にすべてを完璧にする必要はありません。上から順に進めましょう。
| ステップ | やること | フィリピン特有の注意点 |
|---|---|---|
| 1. 機器の棚卸し | マニラ拠点にあるFortiGate機器を全部洗い出し、管理画面が外のネットから見える状態になっていないか確認します | 現地ベンダーに丸ごと任せている場合は、機器の一覧と設置場所を文書でもらいましょう。口頭での確認だけにしないことが大切です |
| 2. 更新と再ログイン | 最新のFortiOS(機器の基本ソフト)へ更新し、すべての管理者が更新後に一度ログインし直して、安全な方式でパスワードを保存し直します | 更新中は一時的に通信が止まることがあります。停電が多い地域では、無停電電源装置(UPS)が動くか先に確認しておきましょう |
| 3. 多要素認証の導入 | 外部からの接続口と管理画面に、パスワード以外のもう一つの確認を必須にします | 費用は1人あたり月数百ペソ規模から始められます。現地スタッフに使い方を母語(タガログ語や英語)で説明する時間を取りましょう |
| 4. 漏洩情報の監視 | 自社や取引先のアカウント情報が、すでに出回っていないかを定期的に照らし合わせます | 退職者や、入れ替わりの多い現地スタッフのアカウントを放置しないことが重要です。退職時にすぐ無効にする手順を決めておきましょう |
| 5. 契約と責任分担の明確化 | 現地ベンダーとの間で、誰が更新を行い、事故のときに誰が報告するのかを契約書に書き残します | フィリピンでは口頭での合意が先行しがちです。必ず文書に残し、双方の署名をもらいましょう |
予算の目安として、まずは多要素認証の導入と機器の更新から始めると、比較的少ない費用で効果を出せます。大きな設備投資の前に、これらの基本を固めることをお勧めします。
Step 5: よくある失敗と対策 (5分)
フィリピンでこのテーマに取り組むときに、つまずきやすい三つのパターンを紹介します。
失敗パターン1: 「現地ベンダー任せで、自社が機器の状態を把握していない」
NG例:機器の管理をすべて地元の業者に任せ、最後にいつ更新したのかも分からないまま運用を続けてしまいます。
OK例:機器の一覧と更新の記録を四半期ごとに業者から受け取り、日本本社でも内容を確認します。担当者の名前も契約書に明記しておきます。
失敗パターン2: 「パスワードの複雑さだけを頼りにしている」
NG例:20文字を超える複雑なパスワードを義務づけているから安全だと考え、それ以外の対策を後回しにしてしまいます。
OK例:パスワードが平文で盗まれれば複雑さは役に立たないと理解し、外部からの接続口には必ず多要素認証を組み合わせます。
失敗パターン3: 「漏洩時の報告を本社判断で待ち、NPCへの通知が遅れる」
NG例:情報漏洩などの事故が疑われても、まず日本本社の指示を待ち、現地での報告を後回しにしてしまいます。
OK例:個人データが関わる場合は、フィリピンの国家プライバシー委員会(NPC)への通知が原則72時間以内に必要だと知っておき、現地で初動を始める手順を事前に決めておきます。
Part 3: さらに深く学ぶ
Step 6: 関連する技術用語 (5分)
記事に出てくる重要な用語を、やさしく整理します。
SSL VPN(エスエスエルブイピーエヌ/暗号化された遠隔接続の仕組み)は、社外から社内のネットワークへ、内容を読まれないように安全につなぐための通り道です。今回の攻撃では、この通り道の本人確認の情報が狙われました。フィリピンのコールセンターでは、在宅勤務の従業員が自宅から会社のシステムへ入るときによく使われており、入口を守る重要さがよく分かります。
ブルートフォース攻撃(ブルートフォースこうげき/総当たり攻撃)は、考えられるパスワードを片っ端から試して、当たるまで繰り返す攻撃です。今回は機器32万台に対して11.6億回もの試行が行われました。フィリピンの中小の日系企業でも、管理画面が外から見える状態だと、こうした自動の攻撃に毎日さらされる危険があります。
Active Directory(アクティブディレクトリ/社内のユーザーを一括管理する仕組み)は、社員のIDやパスワード、アクセスできる範囲をまとめて管理する、会社の名簿のような土台です。攻撃者は入口を破った後、ここへ侵入して長く居座ろうとしました。マニラの拠点で全社員のアカウントを一元管理している場合、ここを奪われると被害が一気に広がります。
多要素認証(たようそにんしょう/MFA、複数の方法で本人を確かめる仕組み)は、パスワードに加えて、スマートフォンへの通知や、ワンタイムの数字など、もう一つの確認を求める仕組みです。これがあれば、パスワードを盗まれても侵入を防ぎやすくなります。フィリピンでは銀行アプリなどで広く使われており、現地スタッフにも比較的受け入れられやすい対策です。
情報窃取マルウェア(じょうほうせっしゅマルウェア/インフォスティーラー)は、感染した端末から、保存されたパスワードやログイン情報をこっそり盗み出す悪意あるソフトです。盗まれた情報が今回のような攻撃に再利用されます。私物のパソコンで会社のシステムに入る習慣が残る職場では、こうした感染が漏洩の入口になりやすいため、注意が必要です。
Step 7: 自社への応用を考える (10分)
チームでの話し合いに使えるテーマを三つ用意しました。それぞれにヒントと、すぐ取れる行動案を添えています。
自社の境界防御機器を誰が管理しているか
考えるヒント:マニラ拠点のファイアウォールについて、機種名と最後に更新した日付を、その場で答えられる人は社内にいますか。答えられない場合、それ自体が見直しの合図です。
次のアクション:現地のIT担当者かベンダーに連絡し、設置している機器の一覧と直近の更新記録を、今週中に文書でもらいましょう。
パスワード依存からの脱却
考えるヒント:もし自社のパスワードが平文で外に出ていたとしたら、いまの防御で侵入を止められるでしょうか。止められないなら、何を足せばよいかを考えてみましょう。
次のアクション:外部からの接続口のうち、まだ多要素認証が入っていない場所を一つ選び、来月までに導入する計画を立てましょう。
情報漏洩が起きたときの初動
考えるヒント:いま漏洩が分かったら、誰が、どの順番で動きますか。日本本社の指示を待つ間に、フィリピンの72時間という期限を過ぎてしまわないでしょうか。
次のアクション:現地での初動の手順を一枚の対応手順書にまとめ、関係者がいつでも見られる場所に置きましょう。
Part 4: FAQ
Q1. フィリピンの小さな拠点でも、本当にこの攻撃の対象になるのでしょうか。
はい。今回の攻撃は、特定の大企業だけを狙ったものではなく、ネット上に出ているFortinet機器を自動でくまなく探す手口でした。記事ではフィリピンでも857台が侵害されたと報告されています。規模の大小に関係なく、管理画面が外から見える状態であれば狙われると考えてください。
Q2. 漏洩が疑われる場合、フィリピンではどこに報告する必要がありますか。
個人データが関わる場合は、フィリピンの国家プライバシー委員会(NPC)への通知が必要です。フィリピンのData Privacy Act(個人情報保護法)では、被害を把握してから原則72時間以内の報告が求められます。日本の報告制度とは期限や窓口が異なるため、現地の手順を別に用意しておきましょう。
Q3. 現地のITベンダーに任せているのですが、何を確認すればよいですか。
まず、設置している機器の一覧と、最後に更新した日付を文書で確認しましょう。次に、管理画面が外のネットから見える状態になっていないかを尋ねてください。あわせて、事故が起きたときに誰が日本本社へ連絡するのかを、契約書に書き残しておくことをお勧めします。
Q4. 多要素認証(MFA)を入れると、現地スタッフの業務が止まってしまいませんか。
最初は戸惑う人もいますが、フィリピンでは銀行アプリなどで同じ仕組みが広く使われており、慣れている人が多いです。導入前に、母語での短い説明会を開き、実際に画面を見せながら手順を伝えると、混乱を避けられます。止まる時間を心配するより、止められない侵入を防ぐ効果のほうが大きいと考えてください。
Q5. 日本本社のセキュリティ基準を、そのまま適用すればよいですか。
基本の考え方は共通して使えますが、そのままでは合わない部分があります。フィリピンでは停電が多い、口頭での合意が先行しやすい、スタッフの入れ替わりが多いといった事情があります。報告先や期限も日本とは異なります。本社の基準を土台にしつつ、現地の事情に合わせて手順を作り直しましょう。
活用のコツ(3 Tips)
まず「自社の入口」を一枚の表にまとめる 守りを固める前に、何がどこにあるかを知る必要があります。マニラ拠点のファイアウォールについて、機種、設置場所、最後の更新日、管理する担当者を一枚の表にまとめましょう。書き出してみて空欄が多いほど、見直しが急がれているという合図になります。
パスワード以外の確認を、外部の入口から順に足す 今回の事件は、複雑なパスワードだけでは守れないことを示しました。すべてを一度に変える必要はありません。外からアクセスできる入口から優先して、多要素認証を一つずつ足していきましょう。最も危険な場所から守ることで、少ない手間で大きな効果が得られます。
漏洩時の初動を、本社待ちにしない仕組みを作る フィリピンには72時間という報告の期限があります。日本本社の指示を待つ間に期限を過ぎないよう、現地だけで始められる初動の手順を決めておきましょう。誰が、何を、どの順で行うかを一枚の手順書にして、関係者全員が見られるようにしておくことが大切です。
ボーナス: PH AI Worksの活用法
PH AI Worksは、フィリピンでAIやテクノロジーの活用を支援する会社です。今回のテーマであるネットワークの防御や、漏洩情報の監視、現地スタッフへの教育の分野でも、現地の事情を踏まえたお手伝いができます。日本本社の方針と、フィリピンの実務の間をつなぐ役割を担います。
次のステップとして、たとえば以下のような内容をご相談いただけます。
- マニラ拠点の防御機器やアカウントの管理状況を、どこから点検すればよいかの整理
- 多要素認証や漏洩情報の監視を、無理のない予算と手順で導入する進め方
- 現地スタッフ向けに、母語でセキュリティの基本を伝える説明会や教材づくり
まずはお気軽にお問い合わせください。無料でご相談いただけます。
参考・出典
この記事を書いた人
運営者 / AIエンジニア(IT歴36年以上)
- ●東京都出身・マニラ在住13年以上
- ●IT歴36年以上(開発・SEO・AI)
- ●IBM認定 生成AIエンジニア
- ●AIチャットボット・RAG・AIエージェント開発
IT歴36年以上、マニラでの実務経験13年以上の日本人AIエンジニア(運営者)です。AIチャットボットや業務自動化、AIエージェント、生成AIマーケティングなど、フィリピンの日系企業が「成果に直結するAI」を導入できるよう、現場目線で記事を書いています。ご相談は日本語・英語どちらでも対応します。