32万台超のFortiGateが狙われた 相次ぐ「大規模侵害」に備えるには何が必要?パッチを当てるだけでは終わらない

FortiGateを狙った「FortiBleed」では、32万台超の機器が標的になりました。攻撃はネットワーク機器だけでなく、開発者や正規サービスにも広がっています。大規模攻撃に備えるには、何から見直すべきでしょうか。

» 2026年07月12日 08時00分 公開

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 2026年、サイバー攻撃の規模と精度はかつてない水準に達しています。Fortinetのファイアウォール製品「FortiGate」を標的とした大規模な認証情報収集キャンペーン「FortiBleed」が明らかになりました。

 注目すべきは、単に未修正の脆弱(ぜいじゃく)性が狙われたわけではない点です。攻撃対象には、比較的新しい更新プログラムが適用された装置も含まれていました。パッチ(修正プログラム)を適用していても、管理者認証情報の再認証や設定の見直しが不十分であれば、過去の認証情報保護方式が残り、攻撃者に悪用される可能性があります。

 世界各地で起きている大規模攻撃はそれだけではありません。北朝鮮系とみられる攻撃者が開発者を標的にした組織的なフィッシング攻撃を展開しています。また、AI(人工知能)ワークフロー自動化プラットフォームを悪用し、正規サービスをマルウェア配布やデバイス追跡の経路に変える手口も確認されています。

 攻撃は、より大規模に、より自然に、より速く展開されるようになっています。こうした状況で防御側に求められるのは、検知や事後対応だけではありません。どの資産にどういった脆弱性が存在し、どこから優先的に対処すべきかを把握する予防型のセキュリティ対策が重要になります。

パッチ済みでも狙われるFortiBleed 大規模攻撃の怖さ

 セキュリティ研究者ウォロディミル・“ボブ”・ディアチェンコ氏らの調査により、FortinetのFortiGateを標的にした大規模な認証情報収集キャンペーンFortiBleedの全容が明らかになりました。

11億回の攻撃試行、ターゲットはインターネット公開機器の半数

 報告によれば、FortiBleedでは32万7777台超のFortiGate機器に対し、約11億6000万回の認証試行が実施されたということです。さらに、16万3650台超の「Microsoft SQL Server」に対しても、約21億回の総当たり攻撃が確認されました。

 攻撃グループにはロシア語話者による複数運営者型グループの関与が疑われており、暗号解読ソフトウェア「Hashtopolis」で管理された45基のGPUクラスタを使って、SSL VPN(仮想プライベートネットワーク)認証情報のハッシュ解読が進められていたとされています。侵入後は「Active Directory」環境へのアクセス、権限拡大、継続的な潜伏活動につながる恐れがありました。

 攻撃対象は194カ国に及び、2万1632件のドメインが確認されました。大手企業や政府機関、重要インフラ関連組織も含まれ、日本や台湾、ベトナム、イラク、トルコの組織では、ネットワーク全体の侵害を示唆する痕跡も確認されています。

落とし穴はパッチ適用後の再認証不足

 特に注目すべきは、比較的新しいパッチが適用された機器も被害に遭っていた点です。Fortinetは2025年初頭、管理者認証情報の保存方式をパスワード解析が困難なPBKDF2方式に変更しました。しかし更新後に管理者が再認証しなかった場合、旧来のSalt付きSHA-256形式が残存するケースがあり、オフライン解析によるパスワード解読リスクが残っていました。

 「パッチを適用するだけでは不十分な場合があること」。FortiBleedはその現実を突き付けた事案といえます。

北朝鮮系攻撃者は開発者を狙う

 大規模攻撃の標的は、ネットワーク機器だけではありません。Proofpointは2026年6月、北朝鮮系の可能性が高い脅威アクター「UNK_DeadDrop」による、開発者やエンジニアを標的にしたフィッシング活動を報告しました。

 攻撃者は2026年4〜5月に、約6週間で250通を超える攻撃メールを送信し、金融や暗号資産、教育、技術分野など100以上の組織を標的にしました。攻撃メールは採用活動やコード査読依頼を装い、不正な「GitHub」や「GitLab」のリポジトリへ誘導するものでした。

 受信者は、技術課題やオープンソースプロジェクトの査読依頼としてリポジトリを取得し、「Visual Studio Code」(VS Code)や「Cursor」で開くよう促されます。リポジトリは実在する標準仕様やフレームワークへの参照を含み、正規プロジェクトのように見える作りになっていました。

 感染の起点とされたのは、リポジトリ内の隠しフォルダに配置されたtasks.jsonです。VS Codeの自動実行機能や拡張機能の仕組みが悪用され、不正なVSIX拡張機能のインストールやマルウェア実行につながりました。開発環境そのものが攻撃経路になっている点は、組織にとって見過ごせない問題です。

正規サービスも攻撃の配送路になる

 Cisco Systemsの脅威インテリジェンス部門「Cisco Talos」は2026年4月、AIワークフロー自動化プラットフォーム「n8n」を悪用したフィッシングキャンペーンの増加を確認し、公表しました。n8nは、「Slack」やGitHub、「Google スプレッドシート」などのWebアプリやサービスを接続し、自動化されたワークフローを構築するためのプラットフォームです。

 攻撃者は、このような正規の自動化サービスを悪用し、マルウェア配布やデバイスフィンガープリンティングを自動化しています。Cisco Talosによると、2026年3月のn8nのWebhook URLを含む電子メール量は、2025年1月と比較して約686%増加しました。

 攻撃では、「Microsoft OneDrive」の共有フォルダを装った電子メールにn8nのWebhookリンクが使われました。リンクをクリックすると、Webブラウザ上にCAPTCHAを含むページが表示され、完了後に実行ファイルや改変されたMSIファイルが配布されます。ペイロードの実体は外部ホストから取得されますが、利用者の画面上ではn8nドメインからのダウンロードのように見えるため、信頼されたサービスを悪用した攻撃が実現します。

 電子メール内に透明な画像(トラッキングピクセル)を埋め込み、開いただけでデバイス情報を収集する仕組みも確認されています。

 正規サービスや生産性ツールが攻撃の配送路になると、従来のドメイン単位のブロックや静的な検知だけでは対応が難しくなります。

防御と攻撃の「速度格差」、大規模攻撃に備えるには何を見直すべきか

 これらの事例に共通するのは、攻撃者がAIや自動化ツールを武器に、攻撃が高速かつ大規模化している点です。公開機器や開発環境、正規サービス、認証情報、クラウドサービスなど、攻撃の入口は複数に分散しています。防御側が個別のアラートに追われる状況では、対処が後手に回る可能性があります。

 セキュリティプラットフォームを提供するTaniumが、2026年6月に開催したイベント「Converge Tokyo 2026」で示したのは、こうした状況に対し、IT運用そのものを高速化する必要性です。

 Taniumは「Autonomous IT」という構想を掲げ、リアルタイムなエンドポイントデータを基盤に、AIが端末の状態やリスクレベルを評価し、優先度の高い端末を特定、パッチ適用の成功確率を予測し、自動修復まで進める運用モデルを示しました。

 防御側でのAI活用は、脅威検知やインシデント対応を高度化する上で有効です。ただし、AIを導入すれば十分というわけではありません。前提となるのは、管理対象のIT資産を正確に把握し、どの端末にどのソフトウェアがあり、どの脆弱性が残っているかを確認できる状態です。

 NECでCISO(最高情報セキュリティ責任者)を務める淵上真一氏は、フロンティアAI時代の防御側の課題として、「資産管理の未徹底と粒度の粗さ」「脆弱性修正のリソース不足」「従来型防御の有効性低下」「意思決定の遅延」の4点を挙げ、「われわれが対峙すべきは未知の脅威ではなく、高速化された既存の課題だ」と述べています。

 攻撃のスピードと規模が変わったのであれば、防御のスピードと規模も変えるしかありません。

「数えられないものは守れない」予防型セキュリティへの転換を

 それでは、このような厳しい局面に立たされた今、いかなる対抗策を講じるべきでしょうか。肝要なのは、脅威が顕在化した後の検知やインシデント対応に終始するのではなく、先制して弱点をつぶしていく予防的なセキュリティ施策を組織全体で拡充することです。

IT資産管理の徹底とパッチ適用の迅速化

 FortiBleedが示したように、インターネットに公開された機器の把握が不十分だと、パッチを当てた後も残存するリスクへの対応が遅れます。まず「何が自社の環境にあるか」を正確に把握することが大前提です。

 Taniumは新製品「Tanium Atlas」で、リアルタイムにエンドポイントの状態を把握し、脆弱性の影響を受ける機器をその日のうちに特定・パッチ適用・完了確認できる仕組みを実現しています。NECでは同社製品を活用することで、世界26万台のエンドポイントの状態を5分で把握できるようになり、現場担当者の作業負担を15分の1以下に削減したといいます。

 淵上氏が強調するのは「リスクベース」の優先順位付けです。CVSSスコアだけでなく、エクスプロイトの公開状況など複合的な要因を組み合わせてパッチ適用の優先順位を決めることで、限られたリソースを本当にリスクの高い箇所に集中できます。

AIによる自動化と「ヒューマン・イン・ザ・ループ」の両立

 防御側でのAI活用も急務です。Tanium Atlasはチャット対話型のインタフェースでIT担当者が自然言語で操作でき、リスクの高いタスクには人間の承認を組み込む「ヒューマン・イン・ザ・ループ」を取り入れています。自動化による効率化を追求しながら、ガバナンスと安全性も担保する設計思想です。

 Cisco Talosが指摘するように、正規サービスを悪用した攻撃への対策には「振る舞いベースの検知」への移行が必要です。AIを活用したメールセキュリティの強化、脅威インテリジェンスの共有なども有効な手段でしょう。

「高速化された既存の課題」に、組織全体で向き合う

 FortiBleed、北朝鮮系グループの組織的フィッシング、n8n悪用キャンペーン――これらは決して特殊な事例ではありません。攻撃者はAIと自動化の力を借りて、あらゆる既存の脆弱性を「見逃さず」「高速に」突いてきます。

 防御側に求められるのも同じ発想です。

 まずは「数えられないものは守れない」という原則に立ち返り、IT資産管理の徹底とパッチ適用の迅速化を基盤として固める必要があります。

 その上で、AIを活用した自動化や振る舞い検知を組み合わせ、インシデント後の事後対応体制も整備することが求められます。

 こうした「予防→検知→対応」の全体的な底上げを、経営層のリーダーシップの下で推進することが、大規模攻撃への現実的な備えとなります。

 攻撃側の進化は止まりません。しかし、基本を徹底し、スピードと規模を引き上げることで、防御側も対等に戦える環境は整えられます。今こそ、セキュリティ対策の「転換点」を迎える時です。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

その「AIコーディング」は本当に必要か?
Microsoft & Windows最前線2026
4AI by @IT - AIを作り、動かし、守り、生かす
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。