本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
インターネットに露出した管理用ポートと弱い認証が組み合わさると、生成AIが攻撃の「手数」を増やし、短期間で被害が膨らみうる。2月20日、Amazon Threat Intelligenceは、ロシア語圏の金銭目的とみられる脅威アクターが市販の生成AIを活用し、Fortinetのネットワークファイアウォール「FortiGate」を600台超で不正に操作できたと明らかにした。
FortiGate侵害 AIで増幅した認証突破
観測期間は1月11日から2月18日までで、対象は55か国以上に広がった。Amazon Threat Intelligenceは、FortiGateの脆弱性を突く挙動は確認されず、外部に開いた管理インターフェースへ認証情報を総当たりする手口が中心だったとしている。単一要素認証のまま運用され、推測しやすい資格情報が残っていた点が突破口になった。
管理ポートを突破されると、攻撃者は装置の設定ファイルを丸ごと取得し、生成AIで作ったPythonの補助ツールで解析や復号、整理を進めた。設定にはSSL-VPNや管理者の資格情報、ネットワーク構成、ポリシーが含まれ得るため、境界機器の侵害が社内侵入の踏み台になりやすい。
同チームは、AWSのインフラが今回の活動に悪用された形跡はないとも説明した。国家支援型の高度な集団というより、少人数でもAIをテコに規模を出せる構図が浮かぶ。
侵入後の横展開 ADとバックアップ照準
侵入後は、盗んだ資格情報で社内に入り、Active Directoryの掌握や認証情報の収集に進む流れが確認された。さらに、復旧の要となるVeeam Backup & Replicationのサーバーを狙い、資格情報の抜き取りや既知の脆弱性を試す動きもあったという。防御が堅い環境では粘らず、次の標的へ移る傾向も指摘された。
生成AIの役割は、未知のゼロデイを生み出すことより、偵察、手順化、コード生成、作業の自動化で攻撃工程を回す点にあった。Amazon Threat Intelligenceは、少なくとも2つの商用LLMが使われたとし、運用の甘さが残る環境ほど「速く広く」狙われやすいと警鐘を鳴らしている。
境界機器の防御は、脆弱性対策だけでは完結しない。組織は管理面の露出を最小化し、多要素認証と強い資格情報の徹底、到達経路の制限、監視の常時化をセットで回す必要がある。生成AIが普及するほど、基本の運用が崩れている環境から先に資金化の圧力を受ける構造が強まる。
