検索
ニュース

FortiGateのデバイス600台超が被害に AWSユーザーや情シスが取るべき行動は?突破口はあの“基本の穴”

Amazon Threat Intelligenceは、ロシア語話者の脅威アクターが商用生成AIを活用し、55カ国600台超のFortiGateを侵害したと公表した。AWSのユーザーや情報システム部門が取るべき対策を整理する。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

Amazon Web Services | クラウドサービス


 2026年2月20日(現地時間)、Amazon Threat Intelligence(ATI)が公開した調査によると、金銭目的とみられるロシア語話者の脅威アクターが複数の商用生成AIサービスを利用し、UTM(統合脅威管理)アプライアンス「FortiGate」を搭載したデバイスを侵害した。被害件数は55カ国以上600台超で、侵害は2026年1月11日〜2月18日に発生した。

 注目すべきは、FortiGateの脆弱性悪用(エクスプロイト)は確認されていない点だ。突破口になったのは、インターネットに露出した管理インタフェースと、多要素認証(MFA)なしの認証情報という“基本的な穴”だった。ATIによると、本インシデントでAWSのインフラが悪用された事実は確認されていない。

 本稿は、攻撃の流れを整理し、AWSユーザーや情報システム部門(情シス)が取るべき対策を紹介する。

基本的な穴とは?

 ATIによると、攻撃者はFortiGateの管理インタフェースを探索し、攻撃者が公開情報や過去の調査から収集したデフォルトの認証情報や強度が低いパスワード、漏えいした認証情報を使って標的へのログインを試みる“Mass credential abuse”を通じて初期侵入した。

 重要なのは、生成AIがゼロデイを生み出した訳ではないことだ。露出したポートや強度が低い認証情報を使った攻撃の計画、自動化、量産に商用AIが使われた。ATIによると、攻撃者は高度APTのような国家支援型集団とは結び付いておらず、技術力は低から中程度だがAIで規模を拡大させた。攻撃の流れは以下だ。

FortiGateの設定ファイルを奪取

 ATIによると、攻撃者はFortiGateの構成ファイルから以下を奪取した。

  • 復号可能なパスワードを持つSSL-VPNユーザーの認証情報
  • 管理者の認証情報
  • ネットワークトポロジー(構成)やルーティングの情報
  • ファイアウォールのポリシー
  • IPsec VPNの設定

 これらの情報の整理、分析には、生成AIツールを利用して、プログラミング言語「Python」や「Go」を用いて作成したスクリプトが利用されたという。

VPN経由でネットワークに侵入、偵察を自動化

 被害者のネットワークに侵入した攻撃者は、GoやPythonで書かれたカスタム偵察ツールを使って以下を自動化した。

  • VPNルーティングテーブルからネットワークを取り込む
  • オープンソースのポートスキャナー「gogo」を使ってサービスの探索と検出を実行する
  • 「Nuclei」(高速で脆弱性をスキャンするオープンソースのツール)を使って、ネットワーク内のHTTPに対して自動で脆弱性をスキャンし優先順位付けをする

バックアップ基盤を狙う

 ATIは、攻撃者がVeeam Softwareの「Veeam Backup&Replication」を重点的に狙い、PowerShellスクリプト、復号ツール、既知の脆弱性の試行など、複数手段で資格情報に迫ったと説明する。バックアップ基盤は高い権限の資格情報を持ちやすく、ランサムウェア前段として攻撃者が好む標的であるという傾向がある。

AWSユーザーが取るべき行動は?

 ATIは「AWSインフラの悪用は確認されていない」と強調している。一方、ユーザー企業は、境界に設置されている機器から社内のActive Directoryを経由して、AWSの権限まで連鎖的に侵害される可能性を考慮しておくとよい。AWSのユーザー企業は、「自社はAWSだから関係ない」ではなく、ID/資格情報の再利用や持ち出しを前提に備えておきたい。

 ATIは、以下の運用を推奨している。

  • AWSの脅威検出サービス「Amazon GuardDuty」
    1. 不審なAPIコールや認証情報悪用の兆候の検知を有効化する。
  • 脆弱性管理サービス「Amazon Inspector」
    1. 脆弱性と意図しない露出を継続的に監視する。
  • AWSのセキュリティサービス「AWS Security Hub」
    1. 検知や設定の不備を集約し、全体のセキュリティ態勢を継続的に可視化する。
  • OSやアプリケーションへのパッチ適用を自動化する「AWS Systems Manager Patch Manager」
    1. AWSの仮想マシンサービス「Amazon Elastic Compute Cloud」(Amazon EC2)のOSやソフトウェアのパッチ適用が担保された状態を保持する。

情シスが今すぐ見直すべきポイントと対策は

 ATIの結論は一貫している。侵害の成功要因は、「管理インタフェースの露出」「強度が低い認証情報」「単要素認証」であり、その対抗策はセキュリティ基礎の徹底だ。ATIは対策の一例として以下を挙げている。

  • FortiGate
    • FortiGateの管理インタフェースをインターネットに公開しない。
  • MFAの有効化と必須化
  • 変更したことがないパスワードや共通のパスワードを排除する。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る