AWSの新しいインシデントレポートによると、市販の生成AI技術を武装したサイバー犯罪者が、わずか1ヶ月以上の期間で55カ国にわたる600以上のインターネット公開されたFortiGateファイアウォールに侵入しました。
1月中旬から2月中旬に実施されたこのキャンペーンは、巧妙なゼロデイ脆弱性よりも、あらゆるデジタルドアハンドルを試すのと同等の方法に依存していました。ただし、機械速度で実行され、AIが舞台裏で手助けしていました。
AWS によると、このキャンペーンの背後にいた経済的動機を持つロシア語話者の集団は、公開されたFortiGate管理インターフェイスをスキャンし、一般的に再利用または弱いパスワードを試し、内部に侵入した後、被害者ネットワークの地図となる設定ファイルを吸い上げました。
クラウド大手のセキュリティチームによると、攻撃者は複数の商用AIツールを使用して攻撃プレイブック、スクリプト、操作上の説明書を生成し、比較的スキルの低いグループが以前は更に多くの人員または時間を必要とした キャンペーンを実行できるようにしました。調査官は、侵害されたインフラ上でAI生成のコードと計画成果物の証拠さえも発見し、これらのツールが単なる散発的なスクリプト作成だけではなく、ワークフロー全体に組み込まれていたことを示唆しています。
「通常、カスタムツールの量と種類は、十分な資源を持つ開発チームを示します」とAmazonのCISO、CJ Mosesは述べました。「代わりに、単一の攻撃者または非常に小さなグループがAI支援開発を通じてこの全体的なツールキット全体を生成しました。」
ファイアウォールが破られた後、攻撃者は管理者とVPN認証情報、ネットワークトポロジの詳細、ファイアウォール規則を含む設定ファイルを引き出しました。そこから、攻撃者はより深い環境に移動し、Active Directoryを攻撃し、認証情報をダンプし、横向きに移動する方法をプローブしました。Veeamサーバーを含むバックアップシステムも買い物リストに含まれていました。
AWSは、観察したツールは機能的でしたが、単純な解析ロジックと機械が最初のドラフトを書いたことを示唆する冗長なコメントの類で、エッジが粗いと述べています。これは攻撃プロセスの広範な自動化に十分に有効であることを妨げませんでしたが、犯罪者は報道によると、あまりにも多くの抵抗を示す標的を放棄し、より攻撃しやすい標的に移動する傾向がありました。これは、精密さよりもボリュームが勝利戦略であるという考えを強化します。
地理的には、この活動は厳密にターゲットされるのではなく機会的でした。被害者はヨーロッパ、アジア、アフリカ、ラテンアメリカの一部を含む複数の地域に分散していました。活動のクラスタは、一部の侵害が管理サービスプロバイダーまたはより大きな共有環境へのアクセスを有効にしたことを示唆しており、ダウンストリームリスクを増幅していました。
レポートは、基本的なセキュリティ衛生(管理インターフェイスをパブリックインターネットから遠ざける、多要素認証を実施する、パスワードを再利用しない)が活動の多くを開始前にシャットダウンしたであろうというアイデアに大きく依存しています。
この発見は、Googleが警告した数週間後に起こり、犯罪者がその独自のGemini AIチャットボットを含む生成AIを直接運用に配線し、偵察とターゲットプロファイリングからフィッシングとマルウェア開発までのタスクに使用していると警告しています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/23/aws_fortigate_firewalls/
