FortiGateのデバイス600台超が被害に　AWSユーザーや情シスが取るべき行動は？：突破口はあの“基本の穴”

Amazon Threat Intelligenceは、ロシア語話者の脅威アクターが商用生成AIを活用し、55カ国600台超のFortiGateを侵害したと公表した。AWSのユーザーや情報システム部門が取るべき対策を整理する。

≫ 2026年02月25日 17時00分公開

[TechTargetジャパン]

基本的な穴とは？

併せて読みたいお薦め記事

パスワードの関連記事

　ATIによると、攻撃者はFortiGateの管理インタフェースを探索し、攻撃者が公開情報や過去の調査から収集したデフォルトの認証情報や強度が低いパスワード、漏えいした認証情報を使って標的へのログインを試みる“Mass credential abuse”を通じて初期侵入した。

　重要なのは、生成AIがゼロデイを生み出した訳ではないことだ。露出したポートや強度が低い認証情報を使った攻撃の計画、自動化、量産に商用AIが使われた。ATIによると、攻撃者は高度APTのような国家支援型集団とは結び付いておらず、技術力は低から中程度だがAIで規模を拡大させた。攻撃の流れは以下だ。

FortiGateの設定ファイルを奪取

　ATIによると、攻撃者はFortiGateの構成ファイルから以下を奪取した。

復号可能なパスワードを持つSSL-VPNユーザーの認証情報
管理者の認証情報
ネットワークトポロジー（構成）やルーティングの情報
ファイアウォールのポリシー
IPsec VPNの設定

　これらの情報の整理、分析には、生成AIツールを利用して、プログラミング言語「Python」や「Go」を用いて作成したスクリプトが利用されたという。

VPN経由でネットワークに侵入、偵察を自動化

　被害者のネットワークに侵入した攻撃者は、GoやPythonで書かれたカスタム偵察ツールを使って以下を自動化した。

VPNルーティングテーブルからネットワークを取り込む
オープンソースのポートスキャナー「gogo」を使ってサービスの探索と検出を実行する
「Nuclei」（高速で脆弱性をスキャンするオープンソースのツール）を使って、ネットワーク内のHTTPに対して自動で脆弱性をスキャンし優先順位付けをする

バックアップ基盤を狙う

　ATIは、攻撃者がVeeam Softwareの「Veeam Backup＆Replication」を重点的に狙い、PowerShellスクリプト、復号ツール、既知の脆弱性の試行など、複数手段で資格情報に迫ったと説明する。バックアップ基盤は高い権限の資格情報を持ちやすく、ランサムウェア前段として攻撃者が好む標的であるという傾向がある。

AWSユーザーが取るべき行動は？

　ATIは「AWSインフラの悪用は確認されていない」と強調している。一方、ユーザー企業は、境界に設置されている機器から社内のActive Directoryを経由して、AWSの権限まで連鎖的に侵害される可能性を考慮しておくとよい。AWSのユーザー企業は、「自社はAWSだから関係ない」ではなく、ID／資格情報の再利用や持ち出しを前提に備えておきたい。

　ATIは、以下の運用を推奨している。

％

AWSの脅威検出サービス「Amazon GuardDuty」

不審なAPIコールや認証情報悪用の兆候の検知を有効化する。

脆弱性管理サービス「Amazon Inspector」

脆弱性と意図しない露出を継続的に監視する。

AWSのセキュリティサービス「AWS Security Hub」

検知や設定の不備を集約し、全体のセキュリティ態勢を継続的に可視化する。

OSやアプリケーションへのパッチ適用を自動化する「AWS Systems Manager Patch Manager」

AWSの仮想マシンサービス「Amazon Elastic Compute Cloud」（Amazon EC2）のOSやソフトウェアのパッチ適用が担保された状態を保持する。

情シスが今すぐ見直すべきポイントと対策は

　ATIの結論は一貫している。侵害の成功要因は、「管理インタフェースの露出」「強度が低い認証情報」「単要素認証」であり、その対抗策はセキュリティ基礎の徹底だ。ATIは対策の一例として以下を挙げている。

FortiGate
- FortiGateの管理インタフェースをインターネットに公開しない。
MFAの有効化と必須化
変更したことがないパスワードや共通のパスワードを排除する。

TechTargetジャパントップセキュリティ