サイバーセキュリティ📖 1分で読了

AI活用ハッカーがFortiGate600台を侵害した手口と対策5週間で55カ国を攻撃、基本対策の欠如が被害拡大の要因に

AI活用ハッカーがFortiGate600台を侵害した手口と対策

ロシア語話者のハッカーがAIを活用し5週間でFortiGate600台超を侵害。ゼロデイ不使用で管理ポート露出と弱い認証を狙った手口と、今すぐ実施すべき防御策を解説します。

💡 今すぐ相談したい方へ|30分の無料相談で現状整理をお手伝いします

相談してみる

AIを活用したハッカーが5週間でFortiGate 600台超を侵害

ロシア語話者の金銭目的ハッカーが、商用AIサービスを駆使してわずか5週間で55カ国・600台超のFortiGateデバイスを侵害しました。VPN機器の乗っ取りはランサムウェア感染や事業停止に直結するため、経営層・IT責任者にとって見過ごせない事態です。Amazon Web Services Security Blogによると、この攻撃ではゼロデイ脆弱性は一切使用されず、インターネットに露出した管理ポートと単要素認証という「基本的な防御の欠如」が狙われています。

今回の事例は、AI技術がサイバー攻撃の「民主化」を加速させていることを示す重要な警告です。技術力の低いハッカーでも、AIを活用すれば大規模攻撃を実行できる時代が到来しています。

攻撃手法の詳細と特徴

今回の攻撃者は「低〜中スキル」と評価されていますが、複数の商用大規模言語モデルを巧みに活用しました。具体的には、DeepSeekやClaudeなどの生成AIサービスを使い、攻撃計画の立案、ツール開発、偵察フレームワークの生成を自動化しています。

特筆すべきは「ARXON」と呼ばれるカスタムMCPサーバーの存在です。このツールを使って偵察データをAIに投入し、ドメイン管理者権限の取得手順、資格情報の探索場所、横展開の推奨手順といった構造化された攻撃計画を生成していました。さらに、Claude Codeを自律実行モードで使用し、ImpacketやMetasploit、hashcatといった攻撃ツールを操作した事例も確認されています。

VPN侵入後の動きも計画的でした。Active Directoryの侵害、Veeamバックアップシステムの標的化、そしてランサムウェア展開の準備が進められていたのです。攻撃者が作成したGo言語やPython製の偵察ツールには、冗長なコメントや形式偏重、素朴なJSONパースといったAI生成コードの特徴が見られました。

なぜ今この事例が重要なのか

ここまで読んで
「うちも同じだ」と思った方へ

課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

今回の報告は、2025年2月に相次いで発表されたAI悪用事例の延長線上にあります。2月18日にはGoogle GTIGが国家アクターによるGemini悪用を報告し、2月21日にはPromptSpyというGemini搭載マルウェアが発見されました。そして今回の事例は、AI武器化の「第3段階」として位置づけられています。

重要なのは、技術的に高度な攻撃ではなく「効率と量」で勝負するアプローチが有効だったという点です。実際、防御が適切に構築された環境では攻撃者は一貫して失敗し、撤退するパターンが確認されています。つまり、基本的なセキュリティ対策を講じていれば、AI増強攻撃であっても防げる可能性が高いのです。

御社が今回の攻撃対象に該当するかどうかは、次の3点で判断できます。FortiGateなどのVPN機器を使用しており管理画面がインターネットからアクセス可能な状態にある場合、VPNや管理者アカウントに多要素認証を導入していない場合、そしてActive Directory環境でDCSync監視などの不正検知体制が整っていない場合は、早急な対策が必要です。

中小企業でも今すぐ実施すべき5つの対策

この事例から得られる教訓を、御社のセキュリティ強化に活かすことが重要です。

まず最優先で取り組むべきは、FortiGateをはじめとするネットワーク機器の管理インターフェースがインターネットに露出していないかの確認です。露出が確認された場合は、即座にアクセスを遮断してください。

次に、VPNや管理者アクセスには必ず多要素認証を導入しましょう。今回の攻撃では単要素認証が狙われており、MFAの有無が被害の分かれ目となっています。

Active Directory環境をお持ちの企業は、DCSync攻撃の監視体制を整えてください。具体的には、Event ID 4662の監視を有効化し、不正なディレクトリ複製の試みを検知できるようにします。

バックアップインフラの隔離強化も重要な対策です。今回の攻撃ではVeeamバックアップが標的とされており、バックアップシステムへのアクセス経路を見直す必要があります。

最後に、AIツールの悪用パターンに関する脅威情報を定期的に更新し、セキュリティチーム全体で共有する体制を構築しましょう。攻撃手法は日々進化しており、最新情報のキャッチアップが欠かせません。

まとめ

AI技術の進歩により、サイバー攻撃のハードルは確実に下がっています。しかし今回の事例が示すように、基本的なセキュリティ対策を徹底していれば、AI増強攻撃であっても防御は可能です。管理ポートの非公開化、多要素認証の導入、監視体制の強化といった基本対策を、今一度見直してみてください。

自社のセキュリティ体制に不安がある場合は、専門家への相談をおすすめします。GXOでは180社以上の支援実績をもとに、管理ポートの露出診断、対策の優先順位整理、実装支援まで一気通貫でサポートしています。ご相談いただければ、まず御社の現状リスクと優先すべき対策が明確になります。まずはお気軽にお問い合わせください。

「やりたいこと」はあるのに、
進め方がわからない?

DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

こちらの記事もおすすめ

同じカテゴリChromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

Chromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

2026年2月17日 · 1分で読了

同じカテゴリ【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

2025年12月10日 · 2分で読了

同じカテゴリ【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

2026年1月13日 · 8分で読了