USEN ICT Solutionsのロゴコーポレートサイト
サイバーセキュリティラボの画像
  1. トップ
  2. セキュリティ記事
  3. 「少し不便なだけ」の誤解が命取りに。EOL/EOS製品がサイバー攻撃の最大の標的となる現実
2026.01.26

「少し不便なだけ」の誤解が命取りに。EOL/EOS製品がサイバー攻撃の最大の標的となる現実

image
目次
サポート終了に伴う「不便」の裏側。狙われる期限切れVPNとセキュリティリスクEOSがセキュリティリスクになる構造FortiGate のVPN動向に見る「EOSが現実になる瞬間」もしEOL化したVPNやNW機器を放置すると、何が起こるのか

サポート終了に伴う「不便」の裏側。狙われる期限切れVPNとセキュリティリスク

Fortinet が 2026年1月20日付で公開した「FortiOS 7.6.5 Release Notes」 によると、FortiGate に搭載されていた SSL-VPNのトンネルモードは廃止され、IPsec VPNへの移行が推奨される方針が明示されています。FortiOS 7.6.3 以降では、SSL-VPNトンネルモードはGUI/CLIの双方で利用できなくなっており、既存の設定も引き継がれない仕様となっています。そのため、リモートアクセスを継続するには、事前にIPsec VPNへ移行しておく必要があると案内されています。

SSL-VPNは手軽に社内へ接続できる一方、認証画面や管理画面がインターネットに公開される構造上、近年は脆弱性を突いた侵入被害が相次いでいます。これに対しIPsec-VPNは、OSレベルで通信そのものを暗号化する方式で、Web型の攻撃面を持たず、より構造的に堅牢なVPNと評価されています。今回の流れは単なる製品変更ではなく、「Web公開型のSSL-VPNからより堅実なIPsec-VPNへ回帰する」設計思想の転換と捉えるのが本質です。

そして、この一連の動きの根底にあるのが、EOS(End of Support)という概念です。

Microsoft や Google をはじめ、ほぼすべてのITベンダーは自社製品に対してあらかじめ「有効なサポート期間」を定めています。このメーカーによるサポートが終了する状態をEOSと呼びます。またEOL(End of Life)は、製品の販売、開発、機能追加、脆弱性修正といったライフサイクルそのものが終了する状態を指します。

「サポート終了」とだけ聞くと、「メーカーに問い合わせができなくなるだけ」「少し不便になる程度」と受け止められがちですが、EOSやEOLを迎えた製品を使い続けるということは、セキュリティ上完全に守られない状態のシステムを運用し続けることを意味します。こうしたEOSを意識することの重要性は、FortiGate のVPNを巡る最近の動向を見ても、現実的な課題として浮き彫りになってきています。

参照:FortiGateのSSL-VPN廃止を受け、セキュアヴェイルがFortiGateのセキュリティ設定最適化サービスを期間限定で提供|株式会社セキュアヴェイル
参照:SSL VPN tunnel mode replaced with IPsec VPN|Fortinet DOCUMENT LIBRARY

EOSがセキュリティリスクになる構造

前述の通り、EOSの本質的な危険性は、単に「メーカーサポートが受けられなくなる」という点にとどまりません。

EOS(End of Support)を迎えた製品では、以降に新たな脆弱性が発見されたとしても、原則としてメーカーから修正プログラムは提供されず、障害やセキュリティ事故が発生しても、技術的な調査や対応を正式に依頼することができなくなります。つまりEOSとは、「まだ動いてはいるが、セキュリティ上の防御責任が完全に切り離された状態」への移行を意味します。セキュリティの観点で見れば、これは「侵入されても直せない」「事故が起きても頼れない」状態に入ることに他なりません。

この構造こそが、EOS製品が攻撃者にとって極めて魅力的な標的となる最大の理由です。EOSを迎えた製品では、過去に公開された攻撃手法はそのまま残り続ける一方で、それに対する修正は二度と提供されません。攻撃者の視点に立てば、一度成功した攻撃手法を、その後も恒久的に使い回せる侵入口になります。

近年では、Shodan や Censys といったインターネット機器探索サービスを通じてEOS状態の製品や古いファームウェアを搭載したVPN装置、ファイアウォール、ネットワーク機器を第三者が極めて容易に特定できる環境が整っています。その結果、EOS製品は攻撃難易度が低く、しかも修正されない脆弱性をはらんだ存在となり、攻撃者にとって「最小のコストで最大のリターン」が見込める標的へと変質していきます。

それにもかかわらず、EOSはしばしば「ただサポートが終了しただけ」と軽く受け止められがちです。しかしこの認識は現実の攻撃動向と大きく乖離しています。Qualys の分析によれば、CISA(米国サイバーセキュリティ・インフラ庁)が管理する「実際に悪用が確認されている脆弱性(KEV)」の約46%が、EOSソフトウェアに関連しているとされています。すなわち、攻撃者が現実に使っている脆弱性のほぼ半数がEOS製品を起点としているということになります。

さらに同じく Qualys のデータでは、全体のクリティカル資産のうち約21%がEoSソフトウェアを使用したまま運用されており、その多くが高または緊急レベルの脆弱性を抱えていると分析されています。この数字はEOS製品が「過去の遺物」ではなく、いまなお企業の重要インフラの中枢に居座り続け、同時に最も危険な攻撃起点になり得る存在であることを示しています。

参照:https://www.qualys.com/cyber-risk-tech-debt|Qualys
参照:How Outdated Systems and Legacy Software Are Fueling Modern Cyber Attacks|HeroDevs

FortiGate のVPN動向に見る「EOSが現実になる瞬間」

EOSがもたらすリスクをより具体的に理解するうえで参考になるのが、FortiGate のSSL-VPNを巡る近年の動向です。FortiGate のSSL-VPNは、長年にわたり多くの企業でリモートアクセス環境の中核として利用されてきましたがその一方で、境界装置として常に攻撃の標的となってきたという側面も持ち合わせています。

実際、FortiGate のSSL-VPNに関してはこれまで、認証回避やリモートコード実行(RCE)、認証情報の窃取といった重大な脆弱性が継続的に報告されてきました。これらの脆弱性は、業務ネットワークへの直接侵入につながる性質を持つため、境界防御の要として運用されるVPN装置にとっては極めて深刻な問題です。

こうした状況を背景に Fortinet は FortiOS 7.6.3 以降においてSSL-VPNトンネルモードを廃止し、IPsec-VPNへの移行を公式に推奨する方針を打ち出しました。すでに一部の機種では、SSL-VPN機能の無効化または大幅な制限が実施されています。

さらに、SSL-VPNトンネルモードの継続利用が可能な最後の系統とされる FortiOS 7.4 系についても2026年5月頃にサポート終了(EOS)を迎えるとされています。

これは FortiGate のSSL-VPNが「機能としては使えたとしてもメーカーの保護下からは外れる」段階に入ることを意味します。この流れを受け、国内でもすでに実務レベルでの移行対応が始まっています。

株式会社セキュアヴェイルは、FortiGate のSSL-VPN経由の侵入被害の増加を受け、2026年1月から3月にかけて、SSL-VPNからIPsec-VPNへの切り替え支援、設定診断、OSバージョンアップ支援を期間限定で提供すると発表しています。

また、経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度」においても、VPN装置を含むネットワーク機器のパッチ適用状況、脆弱性管理、設定の妥当性が評価対象として明確に位置付けられています。

すなわち、FortiGate のSSL-VPNをEOSのまま利用し続けることは、単なる技術上の問題にとどまらず、取引先評価や制度対応の観点からも無視できないリスクへと移行しつつあります。

参照:Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起|一般社団法人JPCERTコーディネーションセンター
参照:【参考資料】★3・★4要求事項案・評価基準案|経済産業省(商務情報政策局 サイバーセキュリティ課)

もしEOL化したVPNやNW機器を放置すると、何が起こるのか

2026年5月に控える FortiOS 7.4 系のEOSが意味するのは、単に「問い合わせや保守ができなくなる」という話ではありません。EOS以降も古いSSL-VPNを使い続けるということは「新たな脆弱性が見つかっても、誰も直してくれないVPN装置を、インターネットに公開し続ける」状態に入ることを意味します。これは恒常的に侵入を許容する入口を、自社ネットワークの境界に設置し続ける行為と同義です。

実際の侵害シナリオでは、まず FortiGate の管理インターフェースやSSL-VPNに対して、過去に公開された認証回避やリモートコード実行(RCE)の脆弱性を狙ったスキャンと攻撃が、自動化された形で継続的に実行されます。EOS以降は新たなパッチが提供されないため、一度有効な脆弱性が見つかれば、その後も恒久的に侵入され続ける状態になります。

侵入後、攻撃者は FortiGate を足がかりに社内ネットワークへアクセスし、Active Directory 環境の探索、管理者権限の奪取、ファイルサーバーやバックアップサーバへの横展開を進めていきます。近年問題となっている「Qilin」などのランサムウェアグループも、こうしたVPN装置を起点とした境界突破型の侵入手法を用いていることが、複数の調査機関によって指摘されています。

「Qilin」の被害から考える|中小企業が改めて意識すべきサイバーセキュリティ対策4選
急増するランサムウェア「Qilin」の脅威と最新の攻撃手法を解説し、改めて今中小企業が取るべき対策を紹介します。
image

さらに多くの事案では、暗号化の実行前にバックアップの削除や監視機能の無力化が行われます。その結果、被害発覚時には復旧手段がほぼ失われた状態で業務停止や取引影響に直面し、あわせて情報漏えい対応にも追われることになります。

重要なのは、この一連の流れがゼロデイ攻撃のような高度な手法を必要とせず「EOSにより修正されない既知の脆弱性」だけで成立してしまう点です。サイバー攻撃が激化している現在においてこれは多くの企業が現実的に直面し得る、極めて再現性の高いリスクとなります。

参照:Qilin ランサムウェア:FortiGate の脆弱性 CVE-2024-21762/55591 を悪用|IoT OT Security News Blog at WordPress.com.

参照:Qilin Ransomware (Agenda): A Deep Dive|Check Point YOU DESERVE THE BEST SECURITY

まとめ

「EOSとはいっても、バージョンを上げればいいだけでは?」と思われがちですが、 FortiGate のアップデートは一般的なPCやサーバのOS更新のようにワンクリックで完了するものではありません。実際には、現行バージョンから直接最新へ上げられないケースも多く、複数の中間バージョンを順番に踏む必要があったり、その都度設定の互換性確認や通信影響の検証が求められる可能性があります。さらに今回のようにSSL-VPNトンネルモード自体が FortiOS 7.6 以降で廃止される状況では「単なるアップデート」では済まされず、VPN方式そのものをIPsecへ切り替える設計変更が不可避となります。つまり今回のEOS対応は単なる延命のためのバージョンアップではなく、ネットワーク構成やリモートアクセスの前提を含めた「設計の見直し」を伴う対応になるという点が、見落とされがちな重要ポイントです。

だからといって放置をするのは攻撃者の思うつぼになってしまいます。攻撃者も「どうせ面倒くさがって対応しない、あるいは対応できない企業が多いだろう」ということは知っています。常にEOS前後ではサイバー攻撃の増加も懸念する必要性があります。

今回の Fortigate EOSを機にサービス設計の根本的な見直しを検討したいという方は、USEN ICT Solutionsでも提案が可能ですので、ぜひご相談ください。

参照:Firmware Upgrade Guide|FORTINET

執筆者

髙橋 拓実

髙橋 拓実

セキュリティ商材のプリセールス、社内システムエンジニアとしてのセキュリティ対策主幹業務を経て、ペネトレーションテスターや脆弱性診断士として従事。現在は、情報セキュリティスペシャリストとして、ITサービスの企画立案、コンサルティング対応、診断業務を行う。ISMSの認証取得支援にも携わり、セキュリティ分野で幅広い業務を担当。GIAC GWAPT、CEH、CHFIなどの専門資格を保持し、セキュリティ分野における高い専門性を証明。また、会議や商談において英語での会議通訳などの対応も執り行う。
月刊マルウェア分析 2025年11月版|年末を見据えて顕在化する情報窃取型マルウェアの脅威
月刊ランサムウェアモニター 2025年12月版|CoinbaseCartel の台頭と相変わらずの Qilin の被害

セキュリティに関するお問い合わせはこちらから

自社の現状を知りたい方やこれから対策をしたい方、インシデントが起きてしまった方はこちらからご相談ください!
お問い合わせ
お電話でも受付中
0120-681-6170120-681-617
(平日 10:00~18:00)