AIプロンプトで攻撃を生成 ノーコード化するサイバー攻撃の実態

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「AIのスピードで行われる攻撃」を再編集したものです。

 ここ数週間、フォーティネットは、自社製品を含むエッジデバイスに対するAI支援型攻撃の必然的な増加を強調する報告を目にしています。MCPサーバーとAIを使用してサイバー攻撃を自動化することは新しいものですが、その手法自体は新しいものではありません。

 これらの報告を確認した後、フォーティネットは直ちに調査を開始しました。調査中、FortiGateの脆弱性の悪用は観察されませんでした。代わりに、このキャンペーンは、露出した管理ポートと単一要素認証による弱いクレデンシャルを悪用することで成功しました。これらの攻撃は、初期アクセスを獲得するためにパスワードスプレーを活用しており、これはかなり一般的な戦略です。

 新しく、そして懸念されるのは、比較的基本的なサイバー知識でこのようなサイバー活動を簡単に自動化でき、コーディングを必要とせずに、容易に利用可能なクラウドリソースを使用して大規模に実行できることです。

 当社の調査に基づくと、この事例でデバイスを攻撃するために使用されたフレームワークは、AIプロンプトに送信された会話型コマンドから生成され、ターゲットの特定とパスワードスプレーの完全な自動化を可能にし、その後、脆弱性評価と攻撃チェーン分析を使用した悪用の試み、そして悪用とパスワードクラッキングの検証が行われます。これらの自動化ツールにより、比較的洗練されていないアクターでも、保護が不十分なネットワークを大規模に攻撃できるようになりました。

文脈が重要

 組織は、これが新しい脅威アクターの戦術や脆弱性に関連するものではなく、何年も使用されてきた基本的な攻撃手法、つまり自動化されたパスワードスプレー攻撃に関連するものであることを明確に理解する必要があります。新しいのは、ノーコードのプロンプトベースの会話を使用してAIプラットフォームに何をすべきかを指示し、既知の脆弱性を自動的に悪用する能力を実証していることです。これは、今後12か月間、多層防御と修復までのスピードが絶対的にクリティカルになることを明確に示しています。

自分の組織を保護するにはどうすればよいですか?

 これらの攻撃は目新しいものではありませんが、減災策も同様です。現時点での世界の地政学的不安定性を考慮すると、すべての組織にとって絶対的な最低限として採用すべきサイバーセキュリティのベストプラクティス推奨事項があります。以下を含みます:

パスワード複雑性ポリシーを適用する – この攻撃は、これを有効にしていれば成功する可能性は極めて低かったでしょう。
多要素認証(MFA)を有効にする – 報告されたサイバー攻撃は、MFAが導入されていれば不可能だったでしょう。
(良好) 信頼できるホスト経由で管理者アクセスを制限する。
(より良い方法) local-inポリシーを使用して管理インタフェースへのアクセスを制限します。
(ベストプラクティス) インターネットに面したインタフェースからFortiGateへの管理アクセスを削除し、代わりに内部またはアウトオブバンド方式で管理します。
・攻撃対象領域を把握し、デバイスを最新の状態に保ち、パッチを適用してください。特にインターネットに面したデバイスを最優先してください。

 管理者アクセス および一般的な ハードニング に関する追加のセキュリティベストプラクティスは、 ベストプラクティスガイドに記載されています。

このインシデントによる影響を受けたかどうかを確認するにはどうすればよいですか?

 フォーティネットの積極的で透明性があり責任ある製品セキュリティ開示の文化は、より大きなサイバーセキュリティエコシステムの責任あるメンバーとして存在し、お客様がリスクに基づいた情報に基づいた意思決定を行えるよう支援するという当社のコミットメントを示す多くの方法の1つです。フォーティネットの調査と監視に基づくと、この攻撃の影響を受けたお客様はわずかでした。現在、該当する組織に通知を行っているところです。ただし、懸念がある場合は、以下の侵害指標(IoC)を確認できます:

・未知のIPからの予期しない管理者アクセス、特に既知のIoC IPアドレス 212[.]11.64.250または185[.]196.11.225からのアクセス
・不正なユーザーアカウント(fortiuser、fortinet-support、fortinet-tech-supportなど)の追加
・予期しない設定変更を探してください。例:
 ・予期しないVPN設定またはユーザー
 ・管理者アクセスを維持するための環境寄生型攻撃手法として観察されている、実行がスケジュールされたスクリプトの追加

このような証拠がある場合:

・デバイスが侵害されたものとして扱い、 こちらのガイダンス に従って復旧してください。
・VPNユーザーの作成、予期しないパスワードのリセット、または予期しない場所からのVPNを確認してください。これらは 、 脅威アクターが内部ネットワークへの ラテラルムーブメント を試みた可能性を示している場合があります。
・AD/LDAP統合が設定されている場合、このアカウントは侵害されたものとして扱い、他の場所での認証への使用や追加アカウントの作成についてADを監視し、ラテラルムーブメントについてネットワークを監視することが重要です。

 内部ネットワークが侵害された可能性があると思われる場合は、 FortiGuardインシデントレスポンスにお問い合わせください。

 フォーティネットは、既知のパッチ未適用の脆弱性や不適切に設定されたデバイスを標的とする脅威アクターによる継続的な活動を引き続き監視しています。

■関連サイト

Fortinet トップへ