-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
AI活用したハッカー、5週間で600超のFortinetファイアウォールを侵害:Amazonが報告
SecurityWeek – February 23, 2026
AIツールを駆使したハッカーによる攻撃キャンペーンで、600を超える数のFortinet FortiGateファイアウォールがハッキングされたという。Amazonの脅威インテリジェンスチームが伝えた。
Amazonは2月20日公開のブログ記事において、金銭的動機を持つロシア語話者アクターによるものとされるこの攻撃キャンペーンについて報告。これによれば、キャンペーンが観測されたのは2026年1月11日から2月18日の期間で、南アジア、ラテンアメリカ、カリブ海地域、西アフリカ、北ヨーロッパ、東南アジアなどの55か国における600超のFortiGateファイアウォールインスタンスが侵害されたという。
FortiGateデバイスの侵害といえばゼロデイや既知の脆弱性の悪用が初期アクセスの手段となるケースが一般的だが、今回はこれには該当せず、インターネットに露出したインスタンスに対する認証情報ベースのアクセスが使われている。Amazonによれば、攻撃者はポート443、8443、10443、4443経由でアクセス可能な管理インターフェースを探り当てるためにスキャンを実施し、よく使い回されている一般的な認証情報での認証を試行。認証が成功すると、以下を含むデバイスの構成設定情報を抜き取るという。
- SSL-VPNユーザーの認証情報(回復可能なパスワード含む)
- 管理者認証情報
- ファイアウォールポリシーと内部ネットワークアーキテクチャ
- IPsec VPNの構成情報
- ネットワークトポロジーとルーティング情報
攻撃者はその後、抜き取った上記のような構成ファイルをAI支援型のPythonスクリプトで解析・復号・整理していたとされる。
攻撃者はまた、被害者ネットワークへのVPNアクセスを達成させるとカスタムの偵察ツールを展開。このツールにはGoやPythonで書かれた複数のバージョンが存在しており、Amazonによれば、ソースコードからはAI支援型開発の明確な指標が見つかっているという。同ツールは、以下の偵察ワークフローを自動化させる役割を担っているとされる。
- VPNルーティングテーブルからターゲットネットワークを取得
- ネットワークをサイズにより分類
- オープンソースのポートスキャナー「gogo」を用いたサービス検出の実行
- SMBホストとドメインコントローラーの自動識別
- 検出されたHTTPサービスに対してオープンソース脆弱性スキャナー「Nuclei」による脆弱性スキャンを統合し、優先順位付けされたターゲットリストを生成
攻撃者はまた、オープンソースのポストエクスプロイトツールキットMeterpreterおよびmimikatzモジュールを使ってドメインコントローラーに対するDCSync攻撃を仕掛けることで、Active DirectoryからNTLMパスワードハッシュを盗み出そうとしていたこともわかっている。Amazonが侵害を確認したケースでは、完全なドメイン認証情報データベースが窃取されていたという。
Amazonはこのほか、Pass-the-Hash / Pass-the-Ticket攻撃やNTLMリレー攻撃によるラテラルムーブメントの試みや、カスタムPowerShellスクリプトを使ってVeeam Backup & Replicationサーバーを標的とする試みも観測。攻撃者は同サーバーに対し、認証情報抽出用ツールをコンパイルしていたほか、Veeamにおける脆弱性数件(CVE-2023-27532、CVE-2024-40711など)の悪用も試みていたとされる。加えて、攻撃者はQNAP製品のRCE脆弱性CVE-2019-7192などその他の脆弱性の悪用も目指していたと思われるものの、その大部分は失敗に終わったとみられている。
Amazonの考えでは、このキャンペーンの背後にいる脅威アクターのスキルセットのレベルは低〜中程度。しかし、少なくとも2種類のLLMを以下のような用途に利用することで、そのスキルセットは大幅に増幅されたという。
- 段階的な攻撃手法の生成
- 複数プログラミング言語でのカスタムスクリプト開発
- 偵察フレームワークの作成
- ラテラルムーブメント戦略の立案
- 運用文書の草案作成
またある事例では、アクターが被害者組織の内部ネットワークトポロジー全体(IPアドレス、ホスト名、認証情報、既知のサービスを含む)をAIサービスに提出し、ネットワーク内へのさらなる拡散を支援するようAIに依頼したと報告されている。
Amazonは、商用AIサービスがいかにサイバー攻撃への参入障壁を引き下げているかが今回のキャンペーンにより示されたと指摘。FortiGateの管理者に対し、管理インターフェースをインターネットに露出させないこと、MFAを確実に有効化すること、VPNのパスワードとActive Directoryアカウントのパスワードを同じものにしないこと、またバックアップインフラを強化することなどを推奨している。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
地政学レポート
OSINT関連レポート
ディープ&ダークウェブレポート
とは?.jpg)