Fortinet VPN の偽サイトに要注意:AI 検索サマリーなどを介したフィッシング攻撃が横行

Fake Fortinet Sites Steal VPN Credentials in Sophisticated Phishing Attack

2026/01/09 CyberSecurityNews — Fortinet VPN の公式ダウンロード・ポータルを偽装し、リモートワーカーや IT 管理者を標的とする、巧妙なフィッシング攻撃キャンペーンが出現した。この攻撃の特徴は、検索エンジン最適化 (SEO:Search Engine Optimization) と、AI が生成した検索サマリーを悪用して被害者を誘導する点にあり、きわめて危険性が高い。この攻撃キャンペーンは、信頼できるドメインから始まる多段階のリダイレクト・メカニズムも採用しており、初期フェーズにおけるセキュリティ・フィルターを回避する。その結果として、VPN 認証情報の窃取とマルウェアの配布に至るという。

Alias G0njxa のセキュリティ研究者たちが確認したのは、AI が生成したクイック・アンサーやサマリー機能を備える最新の検索エンジンが、この攻撃キャンペーンを意図せず助長している点である。

ユーザーが「Fortinet VPN のダウンロード方法」を検索すると、一部の AI サマリーは攻撃者が管理する悪意のある GitHub リポジトリ “vpn-fortinet[.]github[.]io” からコンテンツをスクレイピングし、それを正当な手順ガイドとして提示する。

Fake Fortinet Sites
Fake Websites in Search (Image Credits: G0njxa)

検索結果に表示される偽 Web サイトは、最初のリンクが GitHub という信頼されやすいプラットフォーム上にホストされている。そのため、AI モデルもユーザーもソースを正規と誤認しやすくなる。この錯覚的な信頼性により、ユーザーがリンクをクリックし、攻撃チェーンが開始される。

攻撃の仕組み

この攻撃は、セキュリティ・ボットを除外し、特定の検索エンジン経由でアクセスする実ユーザーのみを標的とするという、精緻にセグメント化されたフローに従う。

おとりランディング・ページ:
ユーザーは “vpn-fortinet[.]github[.]io” へのリンクをクリックする。このページには、アクセス元サイトを示すリファラーを確認するスクリプトが配置されている。

選択的リダイレクト:ユーザーが Google/Bing/Yahoo/DuckDuckGo など主要検索エンジンからアクセスした場合、スクリプトは自動的に実際のフィッシング・サイト “fortinet-vpn[.]com” にリダイレクトする。その一方で、セキュリティ・クローラーや直接アクセスではリダイレクトが発生せず、悪意が隠蔽される。

認証情報収集:リダイレクト先のサイトは、正規の Fortinet のデザインを忠実に模倣している。ダウンロードを許可する前段階として、インストーラーを「設定」する名目で、リモートゲートウェイ/ログイン/パスワード」の入力を要求する偽のモーダルを表示する。

Fake Fortinet Sites
Popup to steal login (Image Credits: G0njxa)

おとり配布:被害者が認証情報を入力すると、その情報は攻撃者に送信される。その後に、悪意のサイトは “myfiles2[.]download” からダウンロードを開始する。このペイロードは疑念を避けるため、正規の FortiClient をインストールするケースが多く、被害者は認証情報の漏洩に気付かない。

侵害の兆候 (IoC)

IT 管理者は、以下のドメインを直ちにブロックし、これらと通信した内部トラフィックを調査する必要がある。

IoC TypeValueDescription
Redirect Domainvpn-fortinet[.]github[.]ioInitial landing page hosted on GitHub Pages to evade reputation filters.
Phishing URLfortinet-vpn[.]comThe destination site where credential harvesting occurs.
Payload Hostmyfiles2[.]downloadHosting domain for the decoy or malware payload.

ユーザー組織が従業員に周知すべき点は、正規ソフトウェアのダウンロードにおいて、インストーラー入手のために事前の認証情報入力が求められることは、ほぼあり得ないことである。URL バーに公式の “fortinet.com” ドメインが含まれていることを、必ず確認する必要がある。

さらに、このキャンペーンが示すのは、AI による検索サマリーを無条件に信頼する危険性である。これらの機能は利便性が高い一方で、オープン Web の情報を取り込むため、基本的な SEO 手法を用いる脅威アクターに容易に操作され得る。リンクをクリックする前に、必ず一次ソースを確認する必要がある。

VPN のような重要なセキュリティ・ツールの公式ダウンロードを装う手口は、リモートワークの時代において非常に警戒すべきものです。この問題の原因は、検索エンジンの AI による検索サマリー機能と信頼されたドメインの悪用を組み合わせた巧妙な誘導手法にあります。具体的には、攻撃者が GitHub という信頼性の高いプラットフォームを入り口として悪用し、そこから主要な検索エンジン経由のアクセス者のみを選別して、偽のフィッシング・サイトへとリダイレクトさせていました。 AI モデルが、この悪意の GitHub ページを正当な情報源として学習/要約してしまったことで、検索結果を疑わないユーザーがクリックしてしまうという連鎖が生じています。よろしければ、Phishing での検索結果も、ご参照ください。