GMOサイバー攻撃 ネットde診断 ASMは、Fortinet社が提供するセキュリティ情報管理・イベント管理(SIEM)製品「FortiSIEM」に存在する深刻な脆弱性「CVE-2025-64155」に関する診断項目を追加しました。
本脆弱性は、OSコマンドインジェクション(※1)に起因するものであり、認証を必要とせず外部から任意のコード実行(RCE)(※2)が可能となるおそれがあります。
(※1)OSコマンドインジェクションとは、システムが受け取った入力を適切に確認せず処理してしまうことで、攻撃者がサーバー上で本来想定されていない操作を実行できてしまう脆弱性のこと。
(※2)未認証のリモートコード実行(Unauthenticated Remote Code Execution / RCE)とは、認証を行わずに外部から任意のプログラムやコマンドを実行できる脆弱性のこと。
「FortiSIEM」の未認証リモートコード実行につながる深刻な脆弱性
2026年1月13日に公開された本脆弱性(CVE-2025-64155)は、Fortinet社が提供するセキュリティ情報管理・イベント管理(SIEM)製品「FortiSIEM」に存在する深刻な脆弱性で、CVSSスコア(※3)も9.8(Critical)と非常に危険性が高い脆弱性です。本脆弱性は、認証を必要とせず外部から任意のコードを実行される可能性があります。攻撃者に悪用された場合、対象システムの完全な制御を許し、システム環境や構成次第では多様な攻撃に悪用されるおそれがあります。
「FortiSIEM」は、企業や組織におけるセキュリティ監視の中核を担う基盤であることから、脆弱性を悪用された場合の影響は広範に及び、事業継続に重大な影響を及ぼすことが想定されます。具体的には、以下のようなリスクが考えられます。
- ログや証跡の欠損・改ざんによる、インシデント調査や原因究明の困難化
- 証跡の欠損により、コンプライアンス対応や監査要件を満たせない期間が発生するリスク
- 原因究明や対外説明の遅延による、復旧プロセスへの影響
- 基幹システム侵害、ランサムウェア被害、情報漏えい等の二次被害
(※3)ソフトウェアやシステムに存在する「脆弱性(セキュリティ上の欠陥)」の深刻度を、0.0から10.0の数値で表す国際的な標準指標
GMOサイバー攻撃 ネットde診断 ASMアップデート概要
今回のアップデートにより、GMOサイバー攻撃 ネットde診断 ASMは、外部に公開されたIT資産の中から「FortiSIEM」の該当の脆弱性(CVE-2025-64155)が残存するバージョンの利用を検知した場合に、指摘事項および対策を通知します。
これにより、利用者は自組織の攻撃面におけるリスク状況を早期に把握し、パッチ適用やネットワーク制御、監視強化など、優先度を踏まえた対策方針の検討を迅速に行うことが可能になります。
「CVE-2025-64155」の検知(既知の脆弱性が存在する ソフトウェアの利用)
「FortiSIEM」の該当の脆弱性(CVE-2025-64155)が残存するバージョンの利用を検知した場合に、指摘事項および対策を通知します。