ハッカーは生成 AI を使用して、5 週間で世界中の 600 のフォーティネット ファイアウォールを侵害しました

Amazon は最近、ロシア語を話すハッカーがさまざまな生成 AI サービスを使用して、わずか 5 週間でフォーティネット FortiGate ファイアウォールへの大規模な侵入を開始し、55 か国の 600 以上のデバイスの侵害に成功したとセキュリティ警告を発しました。

Amazonの統合セキュリティ部門の最高情報セキュリティ責任者であるCJ Moses氏は最新のレポートで、この一連の攻撃が2026年1月11日から2月18日の間に発生したことを明らかにした。攻撃者はゼロデイ脆弱性を悪用しなかったが、インターネット上に公開されたFortiGate管理インターフェースに焦点を当て、脆弱なパスワードと多要素認証を欠いたアカウントを組み合わせて侵入を実行し、さらにAI自動化を利用して被害者ネットワーク内の他のデバイスを突破した。レポートでは、これらの侵害されたファイアウォールが南アジア、ラテンアメリカ、カリブ海、西アフリカ、北欧、東南アジアなどの複数の地域に分布していることを示しています。ターゲットの選択は、特定の業界をターゲットにしたものではなく、明らかにご都合主義的です。

Amazonは、同社のセキュリティチームが、特にFortiGateファイアウォールを攻撃するための悪意のあるツールを配信するために使用されていたサーバーを発見した後、作戦の全体的な枠組みを解明したと述べた。ハッカーはまずポート 443、8443、10443、および 4443 をスキャンして、パブリック ネットワーク上に公開されている FortiGate 管理インターフェイスを見つけます。次に、FortiGate に関連する既知または未知の脆弱性を悪用するのではなく、一般的な弱いパスワードを使用してブルート フォースでアクセスを取得します。

デバイスへの侵入に成功すると、攻撃者はデバイス構成ファイルをエクスポートし、SSL-VPN ユーザー資格情報 (回復可能なパスワードを含む)、管理アカウント、アクセス コントロール ポリシーと内部ネットワーク アーキテクチャ、IPsec VPN 構成、ネットワーク トポロジ、ルーティング情報などの重要なデータを取得します。これらの構成ファイルはツールによって解析および復号され、これらのツールのソース コードには、Python と Go で作成されたカスタム偵察プログラムの冗長コメント、シンプルなアーキテクチャだがフォーマットに多大な労力がかかり、正規の JSON 逆シリアル化の代わりに文字列マッチングを使用し、組み込み言語機能の互換性レイヤーを作成したが空のドキュメントが残っているなど、AI 支援開発の明らかな痕跡が示されました。 Amazonは、これらのツールは攻撃者の特定のニーズをかろうじて満たすことができるが、複雑な環境や十分に強化された環境では失敗することが多く、堅牢性に欠けていると指摘した。これも「AIが生成したコードが深く磨かれていない」ことの典型的な現れです。

これらの自動ツールは、ルーティング テーブルの分析、サイズによるネットワークの分類、オープン ソースの Gogo スキャナーを使用したポート スキャンの実行、SMB ホストとドメイン コントローラーの特定、Nuclei ツールを使用した HTTP サービスと潜在的な脆弱性の検索など、侵害されたネットワークの詳細な調査を行うために使用されました。調査者らは、適時にパッチが適用されているか、厳密に強化されているが、何度試みても突破できないシステムに攻撃者が遭遇すると、攻撃対象を放棄し、代わりにより脆弱なシステムを探して攻撃することを発見しました。

攻撃チェーンの後半で、研究者らは、Meterpreter と mimikatz を使用して Windows ドメイン コントローラーに対して DCSync 攻撃を実行し、Active Directory データベースから NTLM パスワード ハッシュをエクスポートする方法を詳述する、ロシア語で書かれた運用文書を攻撃者のサーバー上で発見しました。さらに、攻撃者は特に Veeam Backup & Replication バックアップ サーバーをターゲットにし、カスタム PowerShell スクリプトとコンパイルされた資格情報抽出ツールを使用して、その後のランサムウェア攻撃が起こる前にバックアップ インフラストラクチャを侵害または制御するために、Veeam 関連の脆弱性を悪用しようとしました。

Amazon が発見した IP 212[.]11.64.250 のサーバー上で、セキュリティ チームは、Veeam バックアップ システムの認証情報の復号化と悪用に使用された「DecryptVeeamPasswords.ps1」という名前の PowerShell スクリプトを発見しました。報告書は、攻撃者がいわゆる「戦闘メモ」の中で、QNAPのリモートコード実行の脆弱性CVE-2019-7192、Veeamの情報漏えいの脆弱性CVE-2023-27532、Veeamのリモートコード実行の脆弱性CVE-2024-40711など、複数の脆弱性を悪用しようとしていたと繰り返し言及していると指摘した。

Amazon は、この脅威アクターの全体的な技術レベルは「低から中程度」であると考えていますが、その攻撃能力は生成 AI サービスの広範な使用によって大幅に増幅されています。研究者らは、攻撃者が作戦全体を通じて少なくとも 2 つの大規模な言語モデル サービスを使用して、段階的な攻撃手法の生成、多言語のカスタム スクリプトの作成、偵察フレームワークの構築、横方向の移動パスの計画、および内部運用文書の作成を行ったと指摘しました。場合によっては、攻撃者は完全な内部ネットワーク トポロジ (IP アドレス、ホスト名、資格情報、既知のサービスを含む) を AI サービスに送信し、ネットワーク内でさらに拡張する方法に関する推奨事項を要求することさえありました。

Amazonは、この出来事は、商用AIサービスがサイバー攻撃の敷居を下げ、そうでなければ複雑な侵入を単独で完了するのが難しい経験の浅い攻撃者が大規模な多国籍作戦を開始できることを明らかに示したと強調した。この種の脅威に対抗するために、Amazon は FortiGate 管理者に対し、管理インターフェイスをパブリック ネットワークに公開しないこと、主要なアカウントの多要素認証を有効にすること、VPN パスワードが Active Directory アカウントのパスワードと同期していないことを確認すること、バックアップ システムの強化に重点を置くことを推奨しています。 Amazon の観察は、初期の偵察から侵入後の作戦に至るまで、ハッカーがサイバー攻撃のあらゆる段階で Gemini AI を活用しているという Google の最近の報告を反映しています。

Amazon の報告とほぼ同時に、セキュリティ ブログ「サイバー アンド ラーメン」は、侵入プロセスに AI と大規模な言語モデルを直接埋め込む攻撃者の技術的詳細を明らかにする独立した調査を発表しました。研究者は、前述の構成ミスのあるサーバー 212.11.64[.]250 が 1,402 個のファイルと 139 個のサブディレクトリを公開したことを発見しました。これには、盗まれた FortiGate 構成バックアップ、Active Directory マッピング データ、資格情報ダンプ、脆弱性評価結果、攻撃計画文書が含まれているだけでなく、AI との相互作用に関連する多数のアーティファクトも含まれていました。

研究者らは、サーバーはスイスのチューリッヒにあり、AS4264 (Global-Data System IT Corporation) によってホストされていると指摘しました。そのディレクトリ構造には、CVE エクスプロイト コード、FortiGate 構成ファイル、Nuclei スキャン テンプレート、および Veeam 認証情報抽出ツールが含まれています。 「claude-0」と「claude」という名前の 2 つのフォルダーには、Claude Code のタスク出力、セッションの差分、キャッシュされたプロンプト ワード ステータスなど、合計 200 を超えるファイルが含まれていることは注目に値します。これは、攻撃者と商用 AI ツールの間に継続的かつ体系的な相互作用があることを示しています。 「fortigate_27.123 (完全 IP 感度解除)」という名前の別のフォルダーには、侵害された FortiGate デバイスからのものと思われる構成データと資格情報が保存されます。

さらに分析を進めると、攻撃者が偵察データと商用大規模モデルの間の「橋渡し」として「ARXON」という名前のカスタムモデルコンテキストプロトコル（MCP）サーバーを構築したことも判明した。研究者らは、ARXON に関する情報を公開チャネルで見つけることができず、このフレームワークは攻撃者自身によって開発された可能性が最も高いと推測しました。このアーキテクチャでは、MCP サーバーは、被害者のネットワークと FortiGate デバイスから抽出されたデータを受信し、それを大規模な言語モデルに入力し、モデルによって生成された出力を他の攻撃ツールに接続して、エクスプロイト後の分析と攻撃計画を自動化する役割を果たします。

研究者らは、ARXON に加えて、CHECKER2 と呼ばれる Go 言語ツールも発見しました。これは Docker にデプロイされ、大規模な VPN ターゲットを並行してスキャンするために使用されます。ログには、このツールが 100 か国以上の 2,500 以上の潜在的なターゲットをスキャンしたことが示されており、攻撃の範囲が広範であることが反映されています。侵害された FortiGate ユニットや内部ネットワークから収集された偵察データは、ARXON に入力されるとされています。ARXON は、DeepSeek や Claude などの大規模モデルを使用して、ドメイン管理者特権の取得方法、価値の高い認証情報の優先順位付け、悪用の推奨手順、ネットワーク内への横方向侵入の具体的なパスなど、構造化された攻撃計画を生成します。

一部のシナリオでは、Claude Code は、攻撃者が命令を 1 つずつ確認することなく、Impacket スクリプト、Metasploit モジュール、hashcat などの攻撃ツールを直接実行するように構成されている場合もあります。研究者らは、数週間以内に攻撃システムが大幅に進化したことに気づきました。当初、攻撃者はオープンソースの HexStrike MCP フレームワークに依存していましたが、約 8 週間後には、大規模な侵入の効率をさらに向上させるために、独自のニーズに合わせてカスタマイズされた、より自動化された ARXON システムに移行しました。

結論として、独立レポートは Amazon の評価に同意しています。生成 AI は実際にこの作戦において「乗算器」の役割を果たし、攻撃者が限られた技術的能力で攻撃の規模と複雑さを迅速に拡大できるようにしました。研究者らはまた、AIを使用したこの種の自動侵入に対処するために、境界デバイスにパッチを適用することを優先し、SSHアクセスを制限および監視し、異常なVPNアカウント作成動作を定期的に監査する必要があることを防御側に注意を喚起している。

さらに、CronUp のセキュリティ研究者 Germán Fernández は、FortiWeb アプライアンスをターゲットとする AI 生成の攻撃ツールが含まれていると思われるディレクトリが公開された別のサーバーを発見しました。これらのツールが今回の FortiGate 攻撃に直接関与していることはまだ確認されていませんが、今回の発見は、脅威アクターが AI ツールを使用して攻撃能力を拡張する新しい方法を模索し続けていることを改めて浮き彫りにしました。