Hackers Leveraging Multiple AI Services to Compromise 600+ FortiGate Devices
2026/02/21 CyberSecurityNews — 2026年01月11日から02月18日にかけて、金銭目的の脅威アクターが複数の商用 GenAI サービスを武器化し、55 カ国以上に分散する 600 台以上の FortiGate デバイスを侵害した。このキャンペーンが示すのは、攻撃的サイバー作戦における技術的な参入障壁が、AI により大幅に低減されているという、決定的な事例である。従来は、大規模かつ高技能なチームを必要としていた規模の攻撃を、低〜中程度の技能を持つ、個人または小規模グループが実行できることが明らかになった。
この脅威アクターによる初期侵入の経路は、インターネットへ公開された FortiGate 管理インターフェイスに対する、認証情報ベースの悪用に依存するものだった。既知の脆弱性の悪用が試行された可能性があるが、その結果については明らかにされていない。
具体的な手法は、ポート 443/8443/10443/4443 に対する体系的スキャンにより、単一要素認証の認証情報や、使い回された認証情報を使用する、アプライアンスを特定するところから始まっている。
取得された FortiGate コンフィグ・ファイルは、高価値の標的であった。そこに取り込まれているものには、復元可能なパスワードを含む SSL-VPN ユーザーの認証情報/管理者認証情報/完全なネットワーク・トポロジーデータ/IPsec VPN ピア設定/内部アーキテクチャを明らかにするファイアウォール・ポリシーなどがある。
これらのコンフィグは、AI 支援の Python スクリプトにより解析/復号/整理され、その結果として、大規模な認証情報の収集が効率的に実行された。
標的の選定は業種に特化したものではなく、自動化された大規模スキャンと整合する機会主義的な手法であった。Amazon Threat Intelligence が特定したのは、同一組織に属する複数の FortiGate デバイスにおける、組織に固有の侵害パターンである。このパターンには、マネージド・サービス・プロバイダーのデプロイメント・クラスターも含まれる。
また、南アジア/ラテンアメリカ/カリブ地域/西アフリカ/北欧/東南アジアなどに、侵害されたデバイスが集中している状況も観測された。
AI はオペレーション基盤である
Amazon Threat Intelligence が確認したのは、この脅威アクターが作戦の全段階において、少なくとも 2 種類の商用大規模言語モデル (LLM) プロバイダーを悪用していたことだ。
1 つの LLM は、主要なツール開発および攻撃計画の策定を担い、もう 1 つは、侵害ネットワーク内でのピボット用補助アシスタントとして機能した。
記録された事例の 1 つでは、IP アドレス/ホスト名/有効な認証情報/特定済みサービスをなど含む、被害ネットワーク・トポロジー全体を AI サービスへ直接入力し、段階的なラテラル・ムーブメント手順を要求した。
Amazon のアナリストは、このオペレーションに対して、”サイバー犯罪のための AI 駆動組立ライン” と表現した。
侵害後の活動は、体系的手法に従っていた。攻撃者は Meterpreter と Mimikatz モジュールを展開し、ドメイン・コントローラーに対して DCSync 攻撃を実行した。それにより、複数の Active Directory 環境から完全な NTLM 認証情報データベースを抽出した。
その一方で、少なくとも 1 件の確認済み侵害で示唆されるのは、Domain Administrator アカウントの侵害が、FortiGate コンフィグの再利用から生じたケースと、脆弱な平文パスワード使用から生じたケースである。
ラテラル・ムーブメントは “pass-the-hash”、”pass-the-ticket”、”NTLM relay” 攻撃により実施された。PowerShell スクリプトおよびコンパイル済みの復号ツールの使用により、Veeam Backup & Replication サーバが特に標的とされた。ランサムウェアの展開前に、バックアップ基盤を侵害することで、復旧能力の破壊を可能にしていた。
Amazon の分析が示したのは、この攻撃の規模の大きさに反して、技術面での一貫した制限が存在したことだ。この脅威アクターは、堅牢化された環境に対し失敗を繰り返し、その事実を自らの作戦ノートにも記録していた。効果的な防御を持つ標的に対しては、執拗に攻撃を継続せずに放棄していた。それが意味するのは、この脅威アクターの優位性は、技術的な深度ではなく AI による効率性と量にあることだ。
Go および Python で記述された AI 生成偵察フレームワークには、未熟な開発の痕跡が見られた。具体的には、関数名を繰り返す冗長なコメント/文字列一致による単純な JSON 解析/空のドキュメント・スタブなどが確認された。
| CVE ID | Affected Product | CVSS Score | Description |
|---|---|---|---|
| CVE-2019-7192 | FortiOS | 9.8 | Path traversal allowing unauthenticated credential access |
| CVE-2023-27532 | Veeam Backup & Replication | 7.5 | Unauthenticated API access for credential extraction |
| CVE-2024-40711 | Veeam Backup & Replication | 9.8 | Remote Code Execution via deserialization flaw |
この攻撃の影響を受けた国々での対応を調整するために、Amazon は侵害指標を関連業界パートナーと共有した。
FortiGate アプライアンスを運用する組織は、管理インターフェイスのインターネット公開を直ちに停止すべきである。それに加えて、すべての VPN および管理アクセスに対し多要素認証を強制し、SSL-VPN および管理者の認証情報をローテーションし、Active Directory における DCSync 活動 (Event ID 4662) を監査すべきである。
このキャンペーンは、Impacket/gogo/Nuclei などの正規オープンソース・ツールに依存しているため、従来のシグネチャベース IOC 手法よりも行動検知が重要となる。管理者に対して強く推奨されるのは、異常な VPN 認証パターン/予期しない Active Directory レプリケーション/バックアップ・サーバ上での未承認 PowerShell モジュール読み込みを監視することである。
| IOC Value | IOC Type | First Seen | Last Seen | Annotation |
|---|---|---|---|---|
| 212[.]11[.]64[.]250 | IPv4 | Jan 11, 2026 | Feb 18, 2026 | Threat actor infrastructure used for scanning and exploitation operations |
| 185[.]196[.]11[.]225 | IPv4 | Jan 11, 2026 | Feb 18, 2026 | Threat actor infrastructure used for threat operations |
2025年から2026年にかけて、サイバー・セキュリティの戦場は “AI 対 AI” の様相を強めています。これまでの報告を概観すると、攻撃の組み立てラインとして特に商用 AI を利用する手法の一般化が目立ちます。FortiGate や BeyondTrust といったネットワークの要となるデバイスを狙う際に、複雑なコンフィグの解析やラテラル・ムーブメントの手順策定を、攻撃者は AI に代行させています。つまり、AI というブースターを得た中程度の技能者が、かつてない規模と速度で、高度なスキルを要してきた組織的な侵害を可能にしています。
その一方で、防御側の対抗策も進化しており、Claude Code Security に代表される “動作を理解する AI” が、静的解析では見逃されてきたロジック・エラーを特定し始めています。しかし、技術の導入速度が組織のガバナンスを追い越してしまうことで生じる、”AI によるデータ露出” という新たなリスクも顕在化しています。よろしければ、2026/02/21 の「Anthropic が Claude Code Security を立ち上げ:AI 駆動のコード・スキャンを提供」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.