主なポイント

✓ 攻撃者は、FortiGateファイアウォールの管理インターフェースをスキャンし、脆弱なパスワードを使用して侵入しました。
✓ 侵入後、攻撃者は構成ファイルを収集し、ネットワークの詳細を把握してから、さらに深く侵入しました。

社会的影響

! この攻撃により、多くの企業がネットワークのセキュリティを再評価する必要があります。
! AIを活用した攻撃が増加することで、サイバーセキュリティの重要性が一層高まっています。

編集長の意見

最近のAWSの報告は、サイバー犯罪がどのように進化しているかを示す重要な事例です。特に、AI技術の悪用が進む中で、攻撃者は従来の手法に比べてはるかに効率的に攻撃を実行できるようになっています。攻撃者が使用したオフ・ザ・シェルフのAIツールは、特に低スキルのグループでも高度な攻撃を可能にするため、サイバーセキュリティの脅威が増大しています。企業は、ファイアウォールやその他のセキュリティデバイスの管理インターフェースをインターネットから隔離し、多要素認証を導入することで、こうした攻撃を未然に防ぐことが求められます。また、パスワードの使い回しを避けることも重要です。今後、サイバー犯罪者はAIをさらに活用し、より巧妙な攻撃を行う可能性が高いため、企業は常に最新のセキュリティ対策を講じる必要があります。サイバーセキュリティの専門家は、企業に対して定期的なセキュリティ監査を実施し、脆弱性を早期に発見することを推奨しています。これにより、攻撃のリスクを軽減し、企業の情報資産を守ることができるでしょう。

解説

生成AI×既製ツールで“低スキルでも回る”運用──AWSが観測したFortiGate 600台超侵害の現実

今日の深掘りポイント

ゼロデイでも高度なマルウェアでもなく、「管理インターフェースの露出」と「平凡なパスワード」という人間の弱点を、生成AIが“運用効率”で押し切った事案です。
攻撃者が奪ったのは“設定ファイル”という組織の設計図です。ファイアウォールそのもの以上に、その後の横展開に資する情報価値が高い点が肝です。
日本の環境でこそ効く現実解は「インターネットに出た管理面の撲滅」「デバイス横断の資格情報ローテーション」「EASMの定常化」です。技術論よりも運用規律の勝負です。
生成AI対策は“AI検知”ではなく、“攻撃のオペレーション速度”を前提に、検知・封じ込め・ローテーションを自動化して追いつくことに尽きます。

はじめに

AWSのセキュリティチームが、ロシア語圏のサイバー犯罪グループによる攻撃運用を観測し、55カ国でインターネットに接続されたFortiGateファイアウォール600台超が影響を受けたと報じられています。時期は2026年1月中旬〜2月中旬、手口は公開された管理インターフェースのスキャンと平凡なパスワードの試行、侵入後の設定ファイル収集という極めて“現実的”なものです。AWSは攻撃側がオフ・ザ・シェルフの生成AIツールで計画やスクリプト化を行い、比較的低スキルでも効率よく侵害を量産したと指摘しています。

本稿執筆時点で参照可能な公開情報は報道記事に基づくもので、AWSの一次公表資料は本文リンクからは直接確認できていません。よって本稿では、報道で明らかになっている事実を踏まえ、CISO・SOCマネージャー・Threat Intelligenceの視点で、攻撃の含意と実装レベルの対応を深掘りします。

参考情報:

The Register: AWS: Russian-speaking crims used generative AI tools to break into 600+ Fortinet firewalls across 55 countries (2026-02-23)

深掘り詳細

事実関係（報道で確認できる範囲）

期間と規模: 2026年1月中旬〜2月中旬にかけ、55カ国で600台超のFortiGateが影響を受けたと報じられています。
初動: 攻撃者はインターネットに露出したFortiGateの管理インターフェースをスキャンし、一般的な（弱い）パスワードを試行して侵入したとされています。
侵入後の行動: 設定ファイルを収集し、ネットワークの詳細を把握した上で、さらに深部への侵入を図ったと報じられています。
生成AIの関与: 攻撃計画やスクリプト生成にオフ・ザ・シェルフの生成AIツールが活用され、低スキルでも運用効率を高めて攻撃を成立させたとAWSが指摘していると報じられています。

いずれも「既存の弱点×運用速度の最適化」で成立しており、未知の脆弱性（ゼロデイ）依存ではない点が要所です。

編集部のインサイト（なぜ効いたのか）

人間の周辺をAIが“加速”しただけです: 成功要因は「露出した管理面」と「推測可能（または使い回し）のパスワード」です。生成AIはスキャン対象の収集、辞書の整形、オーケストレーション、ログ整備など“退屈な運用”を自動化・高速化し、侵入試行のスループットを上げただけです。技術そのものより、オペレーションの速度差が勝敗を分けた事例です。
設定ファイルの価値は“横展開の青写真”です: FortiGateの設定は、アドレス設計、ポリシー、オブジェクト命名規則、VPNの接続先、場合により共有鍵や外部認証連携情報まで、次の攻撃を定義する辞書になります。ファイアウォール単体の侵害に留まらず、社内・拠点・クラウドのどこから攻めるかまで、敵に“最短経路”を提供してしまいます。
“AI対策”の本質はAIを見張ることではありません: 攻撃の成立はAIではなく露出と認証の弱さです。防御側は「インターネット面のゼロ管理」「資格情報の回転と局所化」「構成・ログのテレメトリ化と自動相関」で、攻撃者の運用速度に機械の速度で対抗する必要があります。

なぜFortiGateが狙われやすいのか（仮説）

導入の広さと“見つけやすさ”です: 普及台数が多く、検索エンジン（Shodan 等）やASN別のスキャンで素早くリストアップできます。
管理面の“利便の罠”です: 運用都合からGUI/SSHの開放、既定アカウントの残存、信頼ホストの未設定、緊急対応での一時開放が恒久化しがちです。これらは生成AIの有無に関わらず狙われます。

脅威シナリオと影響

以下は報道を踏まえた仮説シナリオで、MITRE ATT&CKに沿って整理します。観測の有無が明示されていない部分は仮説であることを強調します。

偵察（TA0043）
- T1595 Active Scanning（インターネット露出した管理インターフェースのスキャン）
資格情報への攻撃（TA0006）
- T1110.003 Password Spraying（一般的なパスワードの試行）
初期アクセス（TA0001）
- T1078 Valid Accounts（推測成功後の正規アカウントによるログイン）
- T1133 External Remote Services（管理GUI/SSH等への外部リモート接続）
発見（TA0007）
- T1046 Network Service Discovery、T1016 System/Network Discovery（機器上・近傍のサービスやルーティングの把握、仮説）
収集（TA0009）
- T1005 Data from Local System（設定ファイルの取得）
流出（TA0010）
- T1041 Exfiltration Over C2/Other Network Medium（管理セッション経由の設定ファイル取得）
持続化・権限維持（TA0003/TA0004、仮説）
- T1098 Account Manipulation / T1136 Create Account（新規管理アカウントの作成や既存の改変）
横移動（TA0008、仮説）
- T1021 Remote Services（内部管理ネットワークへの跳躍、VPN・SSH等）

影響の考察:

情報面の影響が太いです。設定ファイルはネットワーク設計、VPN接続先、認証連携、場合により共有鍵情報の断片など、横展開のための地図と鍵束になり得ます。短期的には標的化されたスキャンとパスワードスプレーの命中率を押し上げ、中期的にはクラウド接続（Site-to-Site VPNやSD-WAN）側への侵入効率を高めます。
運用面のリスクとして、ポリシー改変や未知アカウントの投入、ログ送信先の改竄など、検知機構の迂回・盲目化が懸念されます。報道では破壊的行為は言及されていませんが、攻撃者の意図次第で可用性にも直結します（仮説）。
地政学的含意については、関与主体が「ロシア語圏の犯罪グループ」とされるに留まり、国家関与の断定はできません。技術面では“誰でも再現可能”なTTPであり、模倣拡散の速さが最大の脅威です。

セキュリティ担当者のアクション

“AI対策”の前に、“管理面と資格情報の衛生”を、機械的スピードで徹底することがすべてです。優先度順に具体化します。

管理インターフェースをインターネットから消す（最優先）

原則としてGUI/SSH/APIを外部公開しない設計に変更します。運用上どうしても必要な場合は、短時間・限定IP・一時的クレデンシャルでの例外運用にします。
管理アクセスは専用管理セグメントや踏み台（ゼロトラスト・プロキシ等）経由に限定します。
FortiGate固有の機能として信頼ホスト（trusted host）やアクセス・リスト、local-in-policy等で管理面の到達制御を強制します。

全デバイスの資格情報を“横断的”にローテーション

管理者アカウント（ローカル/外部連携）、RADIUS/TACACS共有鍵、IPsec PSK、SNMPコミュニティ等、設定ファイルに痕跡が残り得るものを包括的に洗い出し、計画的に更新します。
既定アカウントの無効化・改名、長く使われた高権限アカウントの棚卸しと削減を行います。
多要素認証（MFA）を強制し、SSHは公開鍵ベースへ移行します（可能な範囲でパスワード無効化を検討します）。

侵害の有無を即時トリアージ

管理ログの異常（短時間の多失敗、海外/未使用ASNからの成功、営業時間外の成功）や、設定バックアップ操作の痕跡を確認します。
未承認の管理者アカウント、ポリシー/オブジェクトの不審な改変、ログ送信先の変更、スクリプト/自動化ジョブの追加有無を点検します。
設定ファイルの外部流出が疑われる場合は、情報漏えい（ネットワーク構成情報）の観点で関係者への開示・是正計画を準備します。

パッチと構成ベースラインの更新

本件はパスワード依存の侵入ですが、既知脆弱性を閉じるためFortiOS/ファームウェアは最新へ更新します。
“安全な既定”を構成ベースライン化し、CI/CD的に継続検査（CIS Benchmarks等を参考）をかけます。

攻撃面の継続監視（SOC向け運用）

管理ポート（典型的には443/8443/22等）への広域スキャン・スプレーの検知、国/ASNの逸脱検知、短時間多元ログインの相関をユースケース化します。
“設定取得操作”や“新規管理アカウント作成”“ログ送信先変更”に対するリアルタイム検知・ブロック（変更要求の二人承認＋即時アラート）を実装します。
侵害前提の監視として、管理セグメント発の内部スキャン兆候、VPN終端側の異常接続、クラウド側のルートやセキュリティグループ変更を統合相関します。

攻撃者の“運用速度”に追いつく自動化

攻撃検知からアクセス遮断（管理面の自動クローズ）、資格情報の無効化、影響範囲の特定、コミュニケーションまでのSOAR連携を用意します。
例外開放は自動失効（TTLつき一時証明）を既定にし、恒久開放を排除します。

攻撃面最小化の組織規律

「インターネットに出してよい管理面はゼロ」という原則をセキュリティ標準に明文化し、EASMで常時監査します。
ベンダーや保守パートナーの管理経路も同等基準で統制し、委託境界での露出を撲滅します。

最後に、本件の“重み”は技術の奇抜さではなく、攻撃の再現容易性と拡張性にあります。生成AIは今後も攻撃側の下ごしらえを加速し続けます。一方で、防御側にも同じ速度の武器があります。露出を消し、資格情報を回し、変更と兆候をテレメトリで掴み、封じ込めを自動化する――この“地味な高速化”が最も現実的で強い対抗軸です。