レポートは、AIが未熟な脅威アクターに役立つ一方で、サイバーセキュリティの基本を実装しないことは攻撃者のスキルレベルに関わらず致命的であることをCSOに警告しています。
ロシア語を話す脅威アクターが市販の生成AI サービスを使用して数百台のFortinetフォルティゲートファイアウォールを侵害しているとAmazonの脅威インテリジェンスが警告しています。
ネットワーク上に侵入した後、ハッカーは数百の組織のActive Directoryを正常に侵害し、完全な認証情報データベースを抽出し、バックアップインフラストラクチャをターゲットにしました。これはランサムウェアの展開の前触れである可能性があります。
CJモーゼス(Amazon Integrated SecurityのCISO)によるこのレポートは、市販のAIサービスが攻撃的なサイバー能力への技術的障壁を低下させていることを示す別の信号です。
1つのアクターまたは非常に小さなグループが、AI支援開発を通じてツールキット全体を生成していると、Amazonは述べています。
しかし、このレポートは、すべての組織のCSOとIT主導者へのリマインダーでもあります。それは彼らが数十年間知っていることです。サイバーセキュリティの基本を実装しないことは、必然的にセキュリティ制御の侵害につながります。このキャンペーンで侵害されたFortigatファイアウォールは製品の欠陥を通じてではなく、公開されている管理ポートと単一要素認証のみの脆弱な認証情報を通じて悪用されています。主要なツールは一般的に再利用される認証情報のリストの使用でした。これはブルートフォース攻撃として知られています。これらは「基本的なセキュリティギャップ」であり、AIが未熟なアクターが規模を利用して悪用することを可能にしました。
「このアクターが強化された環境または、より高度な防御措置に遭遇した場合、彼らは単に粘り強く続けるのではなく、より柔らかいターゲットに移動しました」とレポートは述べています。
「強力な防御の基礎は、同様の攻撃に対する最も効果的な対抗措置のままです」とAmazonは強調しています。これには、周辺デバイスのパッチ管理、認証情報ハイジーン、ネットワークセグメンテーション、および悪用後のインジケーターの堅牢な検出が含まれます。
ジェフポラード(Forrester Researchの主任アナリスト、CSOの役割に関する調査をリード)は、Fortinetに対する最近の他の多くの攻撃とは異なり、このキャンペーンはプラットフォーム自体のソフトウェア脆弱性ではなく、デバイスの設定に関連していることを指摘しました。
「基本に従う必要があるケースであり、むしろそれはそれらの基本をより重要にします」と彼は述べました。「攻撃自体よりも興味深いのは、攻撃者がAIプラットフォームを使用して攻撃を規模化し、彼らが到達した程度まで広がらせたという証拠です。
AIは影響を増幅する
「AIは新規の攻撃を表面化させるだけではありません」と彼は追加しました。「それはまたすべての攻撃の影響を増幅します。この攻撃が示すように。それは攻撃者への参入障壁を低下させ、同時に攻撃の潜在的な影響も高めます。これはIT、開発者、またはセキュリティ実務家が必要とする組み合わせではありませんが、残念ながら、ここにいます。」
Amazonレポートは、750の事件を調査した同じ結論に達したPalo Alto Networksからのものに続いています。実際に組織を殺しているのはAI自体ではなく、弱い認証、リアルタイムの可視性の欠如、セキュリティシステムの複雑なスプロールによる設定ミスなどの基本的なセキュリティの失敗です。
Amazon Threat Intelligenceは、ロシア語を話す脅威アクターが2026年1月11日から2月18日の間に55以上の国にある600以上のFortiGateデバイスを侵害することができたことを発見しました。すべては脆弱性を悪用することなく。代わりに、AWSを除いた名前のない市販のAIサービスを使用して、脆弱に保護されたFortiGateデバイスにハックしました。AIは単に攻撃を規模化するのに役立ちました。
「このキャンペーンの脅威アクターは、国家が後援する資源を持つ高度な永続的脅威グループとの関連がないことで知られています」とレポートは述べています。「彼らはおそらく、AI増強を通じて、以前はより大規模で熟練したチームが必要としていたであろう運用規模を達成した経済的動機を持つ個人または小グループです。」
このギャングはまた、(あるいは今まで)スマートではありませんでした。AIが生成した攻撃計画、被害者の設定、カスタムツーリングのソースコードを含む運用ファイルを、攻撃をホストしていた公開アクセス可能なITインフラストラクチャに残しました。
「それはサイバー犯罪のためのAI搭載のアセンブリラインのようなもので、あまり熟練していない労働者が規模で生産するのに役立ちます」とAmazonの研究者は述べました。
管理者認証情報、ファイアウォールポリシー、ネットワークトポロジーおよびルーティング情報、ならびにIPsec VPNピア設定を盗んだ後、脅威アクターはAI支援Pythonスクリプトを使用して、これらの盗まれた設定を解析、復号化、および整理しました。
被害者ネットワークへのVPNアクセスを達成した後、脅威アクターはカスタムネットワーク偵察ツールを展開していると、Amazonは述べています。GoとPythonの両方で書かれた異なるバージョンがあります。ソースコードの分析により、関数名を単に繰り返す冗長なコメント、機能に対して不均衡な投資を持つシンプルなアーキテクチャのフォーマッティング、適切な逆シリアル化ではなく文字列マッチング経由の素朴なJSONパース、空のドキュメントスタブを持つ言語組み込みの互換性シムなど、AI支援開発の明確なインジケーターが明らかになっています。脅威アクターの特定の使用ケースに対して機能的ですが、ツーリングはロバストさに欠け、エッジケースの下で失敗します。これはAmazonが述べた特性で、大幅な改良なしに使用されるAI生成コードの典型的な特性です。
推奨事項
Amazonレポートは、FortiGateデバイスを持つネットワーク管理者に多くの推奨事項を出しています。デバイス管理インターフェースがインターネットに公開されていないことを確保すること、または、それらが持つ必要がある場合は、既知のIPレンジへのアクセスを制限し、要塞ホストまたは帯域外管理ネットワークを使用することが含まれます。基本的なサイバーセキュリティの要求として、FortiGateアプライアンスのすべてのデフォルトおよび共通認証情報を変更する必要があります。すべての管理者およびVPNアクセスに対して多要素認証が実装されていることを確認し、FortiGate VPN認証情報とActive Directory ドメインアカウント間のパスワード再利用がないことを確認する必要があります。
AWSを使用している企業のシステムが悪用されるのを避けるために、IT管理者は脅威検出のためにAmazon GuardDutyを有効にするよう勧められています。異常なAPI呼び出しと認証情報使用パターンの監視、Amazon Inspectorを使用してソフトウェア脆弱性と意図しないネットワーク公開を自動的にスキャン、AWS Security Hubを使用してセキュリティ体勢への継続的な可視性を維持する。
フェルナンドモンテネグロ(Futurumのサイバーセキュリティ実践リード)は、組織はまだAIが対戦相手にもたらすことができる加速と増強に対処していると述べました。この場合、彼は述べた、脅威研究者はどのように対戦相手がおそらくAI能力を活用して、彼らのキャンペーンをサポートするための素朴だが効果的なツールを作成したかを強調しました。これは、非悪意のあるユーザーが狭い使用ケースのために何かを「バイブコード」することを可能にする同じ種類の能力ですが、良性のアプリの代わりに、それは悪意のあるツールです。
セキュリティのバーを上げる
組織は常に外部の観察者には見えない制約に対処しているため、「セキュリティの基本を実装する」ことは、多くの場合、簡単な努力ではない可能性があると、彼は追加しました。ほとんどのセキュリティチームは多くの競合する優先事項と限定的な予算に対処し、新しいイニシアチブと定常状態の運用活動の混合物を常にバランスさせる必要があります。
「このインシデントと他の多くのことは、AIによる攻撃者の増強が絶えず、迅速に、今後受け入れ可能と考えられるセキュリティ慣行に何があるかを上げていることを明らかにしています」と彼はまた述べました。「これにより、組織はこれらのより弱いセキュリティ慣行が迅速に環境から削除されることを確認するために、より多くのサイクルを費やす必要があります。そうしないと、彼らはより機敏な攻撃者の獲物になりやすくなります。」
LinkedInブログで、Amazon CISOモーゼスは、強力な認証情報ハイジーン、MFA、および適切なネットワークセグメンテーションを備えた組織がこれらの攻撃を正常にブロックしたことに注意しました。「そしてAIが攻撃者への参入障壁を低下させている一方で」と彼は追加しました、「それはディフェンダーのための同様に強力なツールです。セキュリティチームが脅威をより速く検出し、規模で応答を自動化し、進化する戦術の先に留まるのに役立ちます。熟練した攻撃者と未熟な攻撃者の両方からの攻撃量が増加するにつれて、このキャンペーンに対する防御の同じ基本は、最も効果的な対抗措置のままです。」
CSO からの質問に対応して、彼は、ロシア系グループの成功は「脅威アクターがしばしば最小抵抗の道を選択することを根本的に示しています。多要素認証、適切なネットワークセグメンテーション、および認証情報管理などの基本的なセキュリティ制御が存在しない場合、未熟なアクターでも規模で戦略的目標を達成できます。AIは単に彼らの効率を増幅しました。」と追加しました。
IT主導者がまだサイバーセキュリティの基本を実装することができない理由を尋ねられたとき、彼は、「課題は知識ではなく、技術的債務と競合するビジネス優先事項が基盤的なセキュリティにシステムギャップを作成するリソース制約された環境で動作しています。レガシーシステム、予算制約、および迅速なデジタル変換は、多くの場合、困難なトレードオフを強制しますが、脅威アクターはこれらの正確な脆弱性を機械速度でAIを活用しています。前進の道は、セキュリティの基本がこれほど組み込まれるようにすることを必要としますので、リソース圧力の下でさえ、運用的に回復力があります。」と述べました。
