(1)概要

・FortiOS 7.6.3 以降、SSL-VPNトンネルモードが廃止され、リモート接続をするには、IPsec VPNを使う必要がある。
・これまでは、設定画面はあったが、FortiOS 7.6.3 からはGUI/CLIからSSL-VPNトンネルモードの設定自体が消失

Q.古いバージョンでSSL-VPN機能を有効にし、最新OSに上げるとどうなるか

A.機能は引き継がれない

(2)廃止の背景

・脆弱性が発生し、その攻撃の被害が多発していることがある（詳細はこのあと）
・脆弱性の頻発でパッチ適用が負担に
https://xtech.nikkei.com/atcl/nxt/column/18/03373/101600001/

(1)発表された脆弱性

SSL-VPNのデーモン部分に致命的バッファオーバーフロー（CVE-2024-21762）や認証バイパス脆弱性（CVE-2023-27997）などが立て続けに発見され、いずれもパッチ適用前の環境で攻撃に使われている

(2)被害の実情

警察資料によるランサムの感染ルート

(3)ニュースや報道発表

・2025年4月には米CISAも Fortinet のSSL-VPN脆弱性事例に言及し、修正パッチ適用までSSL-VPN機能を無効化するよう勧告した
・フランスCERT-FR も同様に被害を報告しており、グローバルに強い注意喚起がなされている
https://thehackernews.com/2025/04/fortinet-warns-attackers-retain.html#:~:text=The%20U,said%20it%27s%20aware%20of%20compromises

(3)攻撃を受けるとどうなるか

実演する？

(1)IPsecを使う

必要なソフトウェア
費用

(2)ゼロトラスト（ZTNA）機能

別途ライセンスが必要なはず
必要なソフトウェア
費用

(3)他社への移行

(4)まとめと推奨案

(1)SSL-VPN機能の無効化

・バージョンの確認
・設定方法（SSL-VPNをOFF）

(2)設定画面の変化

・設定ありの場合
・7.6.3 以降の設定できない画面

(3)IPsec

構成図、設計
設定手順　★詳細解説、デモ

(4)ゼロトラスト（ZTNA）機能

構成図、設計

(5)Webモード

・SSL-VPN Webモードは「Agentless VPN」という新しい名称で、継続利用可能
・利用できるのはリバースプロキシサーバと同じで、httpやhttpsの通信のみ（※要確認）