AIで侵害し、AIで守り、人間が穴を開ける——2026年2月のサイバーセキュリティ最前線
同じ週に、サイバーセキュリティの現在地を示す4つの事件が出そろった。
DeepSeekとClaudeを組み合わせて106カ国2,500超のターゲットを自動スキャンしたFortiGate侵害キャンペーン、MFAを正しく完了してもセッションを奪われるフィッシングサービスStarkiller、AIが数十年間見逃されていた脆弱性を500件以上発見したという報告、そしてPayPalが6ヶ月間にわたってSSNを含む個人情報をコードミスで露出していた事実。それぞれ独立した事件だが、同じ週に出そろったのは偶然にしては示唆的だ。
AIを武器にした攻撃:106カ国2,500超のFortiGateスキャンと侵害
キャンペーンの全体像
2026年1月11日から2月18日にかけて、ロシア語話者の金銭動機グループが複数の商用AIサービスを駆使し、55カ国600台以上のFortiGateデバイスを侵害した。Amazon Threat Intelligenceの報告による。
この攻撃の特徴は、FortiGate固有の新しいゼロデイを悪用していない点だ。攻撃者が突いたのは古典的な設定ミスだった。管理インターフェースが外部公開されているポート(443、8443、10443、4443)を自動スキャンし、単要素認証の弱い認証情報でのログインを試みた。新CVEも高度なエクスプロイトも不要で、「管理ポートがインターネットに露出している」「パスワードが弱い」という2点だけで600台以上を制圧している。
使われたAIと自動化インフラ
Amazon Threat Intelligenceは攻撃者を「技術力が限られている」と評価している。にもかかわらずこれだけの規模を実現できたのは、複数の商用生成AIサービスを活用したからだ。
攻撃に使われたAIサービスが特定されている。
- DeepSeek: 攻撃計画の生成に使用。
deepseek_attack_plan.pyというスクリプトが確認されている - Claude: 脆弱性評価レポートの作成、Impacket・Metasploit・hashcatの自律実行に使用
AIだけでなく、攻撃をスケールさせるためのカスタムツールも開発されていた。
- ARXON: カスタムMCPサーバー。スキャン結果を処理しDeepSeekを呼び出して攻撃計画を生成する「AIとハッキングツールの橋渡し」として機能
- CHECKER2: Go製のDockerオーケストレーター。2,516ターゲット/106カ国を並列スキャンする能力を持つ。NucleiテンプレートとBloodHoundでの情報収集を自動化
2025年12月にはスキャニングサーバー上で HexStrike AI というフレームワークの存在も確認されている。
コード解析で見えたAI生成の痕跡も興味深い。「冗長なコメント」「単純なアーキテクチャ」「適切なデシリアライゼーションの代わりに文字列マッチングでのJSONパース」「空のドキュメントスタブを持つ言語組み込み関数の互換シム」。これらはAIに頼りきった初級者がコードを生成したときに出やすい特徴だ。
Amazon Threat Intelligenceはこれを「サイバー犯罪のAIパワードアセンブリライン」と呼んだ。経験豊富な大規模チームがなければ実現できなかったことが、AIで補完した少人数グループで可能になった。AIエージェントが攻撃インフラに組み込まれている事例としては、AIメモリ注入攻撃やスマートコントラクト自動悪用の記事も参照。
侵害後の動き:ランサムウェア準備
初期アクセス確立後、攻撃者は多段階の展開を実行した。
FortiGateからの認証情報・設定の窃取
読み取り専用アカウント Technical_support を使って完全なバックアップを取得。CVE-2019-6693でLDAP bindパスワードを復号し、FortiSSL VPNを確立。ネットワーク内部への足がかりを構築した。
ドメイン全体への横展開 DCSync攻撃でActive Directory上の認証情報をまとめて収集し、パス・ザ・ハッシュ/パス・ザ・チケット攻撃で横方向移動を実施。
バックアップ・ストレージの標的化 CVE-2023-27532とCVE-2024-40711(どちらもVeeamの脆弱性)を悪用してバックアップインフラを攻撃。QNAP NASやVeeamサーバーが標的になった。ランサムウェアを展開する前にバックアップを破壊または暗号化する手口の準備段階と見られる。
被害地域は南アジア、ラテンアメリカ、カリブ海、西アフリカ、北ヨーロッパ、東南アジアと世界規模に拡散している。
IOCと推奨対策
確認されたIOC:
| 指標 | 詳細 |
|---|---|
| スキャン元IP | 212.11.64.250 |
| スキャニングサーバー | 185.196.11.225(Kali Linux) |
| AS | AS4264 Global-Data System IT Corporation(チューリッヒ) |
推奨対策:
| 対策 | 優先度 |
|---|---|
| 管理インターフェースをインターネットから切り離す | 最高 |
| 多要素認証の導入(管理画面) | 最高 |
| Veeamのパッチ適用と一般ネットワークからの隔離 | 高 |
| SSL-VPN認証情報のローテーション | 高 |
| QNAP NASへのアクセス制限 | 高 |
| DCSync・パス・ザ・ハッシュの検出ルール整備 | 中 |
今回の攻撃の入口は「管理ポートの外部公開」だけだった。管理ポートを内部ネットワークかVPN経由に限定するだけで、このキャンペーンの大半は防げた。FortiGateに限らず、ネットワーク機器の既知脆弱性が活発に悪用されている状況はCISA KEV追加脆弱性のまとめでも確認できる。
参照: Amazon Threat Intelligence レポート(The Hacker News経由)
Starkillerフィッシング:本物のページをプロキシしてMFAトークンまで傍受
従来のフィッシングとの根本的な違い
Jinkusuが運営するStarkillerはリバースプロキシ型のPhaaS(Phishing as a Service)だ。従来のフィッシングサイトが「本物に見せかけた偽のログインページ」を静的に用意していたのとは構造が異なる。
従来手法の弱点は2点あった。デザイン更新に追いつけず本物とUIが異なる部分が出ること、そしてセキュリティ研究者や自動検出システムが静的フィッシングページを特定してテイクダウンを要請できること。Starkillerはこの両方を回避する設計になっている。
仕組み:テンプレートレスのリアルタイムプロキシ
Starkillerのバックエンドでは、Dockerコンテナ内でヘッドレスChromeブラウザが実際のログインページを読み込む。 攻撃者インフラ経由の中間者リバースプロキシとして機能し、被害者には本物のログインページが表示される。
従来のフィッシングキットと決定的に異なるのが「テンプレートレス」設計だ。偽ページの静的テンプレートを持たず、リアルサイトをそのままプロキシする。この設計により、フィンガープリントやブロックリストによる検出がきわめて困難になる。正規サイトと同一のコンテンツが提供されるため、既存のフィッシング検出システムが識別する手がかりがない。
URLの偽装には巧妙な手法を使う。
login.microsoft.com@evil-site.example.com/path@記号より前のテキストはブラウザのURL解析では無視される。実際のランディングURLはevil-site.example.comだが、URLを見た一般ユーザーはlogin.microsoft.comという文字列に引っかかりやすい。
MFA突破とリアルタイム監視
Starkillerの最大の脅威はMFA(多要素認証)の実質的な無効化だ。
SMSや認証アプリのワンタイムコードをユーザーが入力すると、そのコードはリアルタイムで正規サイトに転送される。認証は完了するが、セッションクッキーは攻撃者が傍受している。攻撃者はそのセッションクッキーを使って、被害者とは独立に認証済みアカウントへのアクセスを得る。
ユーザーが正しくMFAを完了していても突破される。 FIDO2/WebAuthnのような物理的なハードウェアキーベースの認証は、このタイプの攻撃に対して有効な対抗手段になる。
認証情報の窃取に加えて、以下の監視機能も備えている。
- リアルタイムセッション監視: 攻撃者が被害者のブラウザ操作をライブストリームで観察できる
- キーロガー: 全キーストロークを記録
- 地理追跡: ターゲットの位置情報を取得
- Telegram連携: 新しい認証情報が入ると攻撃者に自動通知
Jinkusuの運営体制
StarkillerはPhaaSとして販売されており、高度な技術スキルを持たない攻撃者でも使えるように設計されている。ターゲットブランドをドロップダウンから選択し(Apple、Google、Microsoftなど主要ブランドが対象)、偽装URLを生成するだけで攻撃を開始できる。
運営の本格度合いも目を引く。コミュニティフォーラムを運営し、月次アップデートを提供、Telegram経由でのサポートも受け付けている。商用SaaSと変わらない体制だ。
対策
エンドユーザー向け
- URLを慎重に確認する(
@以降のドメインが本物かどうかを確認する) - FIDO2/WebAuthn対応の物理セキュリティキー(YubiKeyなど)を使う
- パスキー(Passkey)に移行する
組織向け
- フィッシング耐性MFAポリシーの強制(FIDO2/SAML/WebAuthnへの移行を義務化)
- Conditional Access Policy(未知のデバイスやIPからのセッションを追加検証)
- リスクベース認証(異常なセッションパターンの検出)
テンプレートレス設計のため、静的フィッシング検出に特化した従来のセキュリティツールはリバースプロキシ型の攻撃に対して有効ではない。フィッシング対策の前提自体を見直す必要がある。開発ツール周りのセキュリティが攻撃面になっている状況についてはChrome DevToolsやVSCode Copilotの脆弱性記事も参照。
参照: Krebs on Security - Starkiller Phishing Service
Claude Code Security:静的解析を超えるAI脆弱性検出
攻撃者がAIでスキルギャップを埋める一方、防御側もAIを実戦投入し始めた。
AnthropicがClaude Code Security(Claude Code Web版に統合されたセキュリティ機能)を限定研究プレビューとして公開した。基盤はClaude Opus 4.6で、EnterpriseとTeamプランのユーザーが対象。詳細な技術分析はClaude Code Securityの個別記事にまとめている。
従来ツールとの違い
既存の脆弱性検出ツールは大きく2種類に分かれる。パターンマッチング型(Semgrep、CodeQL)と依存関係スキャン型(Snyk)だ。
| ツール | 得意 | 苦手 |
|---|---|---|
| Semgrep/CodeQL | 既知パターンへの合致 | ルール外の新規パターン |
| Snyk | 既知CVEの依存関係 | アプリ固有のロジック欠陥 |
| Claude Code Security | ビジネスロジック系・複合条件 | 大規模コードベースでのコスト |
Claude Code Securityが差別化を主張する領域は「ビジネスロジック特有の欠陥」だ。アクセス制御の不備など、アプリケーション固有の文脈を理解しないと検出できない種類の脆弱性は、正規表現やAST解析ベースのツールには本質的に難しい。
LLMベースなので、コンポーネント間の相互作用やデータフローを追跡し、複数ステップを経ることで初めて発現する脆弱性も検出できる。
本番OSSで500件超という数字
Anthropicのチームが実際に本番運用中のオープンソースリポジトリに対してテストを行い、500件以上の脆弱性を発見したと発表している。セキュリティ専門家によるレビューをくぐり抜け、数十年にわたって見落とされていたものだという。
この数字の独立した検証はまだないが、「数十年見落とされた」という表現は示唆的だ。既存ツールのカバレッジが本質的にビジネスロジック系の脆弱性を拾えていないことを意味する。
パッチ提案と管理画面
発見した脆弱性に対して具体的な修正コードを提案する機能もあるが、適用には人間のレビューが必須とされている。「Human-in-the-Loop」を設計として明示しており、AIが自動で本番コードを書き換えることはない。
管理画面「Claude Code Security Dashboard」から検出脆弱性の一覧確認、パッチ提案のレビュー、修正適用の承認ができる。深刻度評価と信頼度スコアリングで優先順位の判断も支援する。
オープンソースメンテナー向けには優先的な無料アクセスが用意されており、アクセス申請は claude.com/contact-sales/security から受け付けている。限られたリソースで運用されるOSSプロジェクトにとって、今回のような「数十年見逃してきた脆弱性」が相当数存在するとすれば、この対応は現実的な優先順位だ。
実務での使い方としては、Semgrepで既知パターンを弾き、Claude Code Securityでロジック系を追加チェックする組み合わせが現実的だ。単独で全て代替するというより、既存ツールのカバレッジの穴を埋める位置づけになる。AI開発ツール自体がサプライチェーン攻撃の対象になっている点については、Clinejectionの分析記事やnpmサプライチェーンワームの記事も押さえておきたい。
元記事: Making frontier cybersecurity capabilities available to defenders
PayPal Working Capital:コードミスが6ヶ月間、約100名のSSNを露出
AIが防御側に回り始めた一方で、人間の開発ミスは依然として深刻な脆弱性になりうることを示した事件が同週に出た。
PayPalが2026年2月20日、中小企業向けローンサービス「PayPal Working Capital(PPWC)」のコードエラーによって、約100名の顧客の個人情報が約6ヶ月間にわたって権限外から参照可能な状態に置かれていたと開示した。マサチューセッツ州司法長官事務所にdata breach notificationが提出されている。外部からのサイバー攻撃ではなく、PayPal自身のソフトウェア開発上のミスが原因だ。
タイムライン
| 日付 | 出来事 |
|---|---|
| 2025年7月1日頃 | 問題のコード変更が本番環境に導入される |
| 2025年12月12日 | PayPalが問題を検知 |
| 2025年12月13日 | コードをロールバック、アクセスを遮断 |
| 2026年2月10日 | 影響顧客への正式侵害通知 |
問題発見から顧客通知まで約2ヶ月のタイムラグがある。PayPalは「法執行機関からの要請による遅延ではない」と明言しており、内部の調査・法的レビューに時間を要した格好だ。
流出した情報と実被害
権限のない第三者から参照可能な状態になっていた情報:
- 氏名(フルネーム)・メールアドレス・電話番号・事業所住所
- 社会保障番号(SSN)
- 生年月日
SSNと生年月日の組み合わせは米国においてなりすまし詐欺・口座開設・標的型ソーシャルエンジニアリングへの悪用に十分な情報だ。影響が長期化する。
少数の顧客では実際に不正取引が発生しており、PayPalは返金済みと報告している。影響人数は約100名とPayPalが確認した。
技術的な背景
PPWCはビジネスオーナーが売上実績を担保に資金調達できるローン申請プラットフォームで、申請プロセス中に機密性の高いPIIを扱う。2025年7月1日頃に導入されたコード変更によってPIIが権限外に露出した。
具体的な技術的仕組み(APIの認証バイパスか、アクセス制御の設定ミスか、データのマスキング漏れか)はPayPalから公開されていない。
PayPalの対応
- コード変更のロールバック(検知翌日)
- 影響アカウントのパスワード強制リセット
- 不正取引が確認された顧客への返金・補償
- Equifax経由で 2年間の3局クレジットモニタリング とID復元サービスを提供(登録期限: 2026年6月30日)
なお、PayPalは2022年12月にもクレデンシャルスタッフィング攻撃で約35,000件のアカウントが侵害された経緯がある。今回は性質が異なる(内部コードミス)が、繰り返しのインシデントとして目を引く。
元記事: PayPal discloses data breach that exposed user info for 6 months
2月に入ってから攻撃面の広がりに関する報告が相次いでいる。Dell RecoverPointのゼロデイ、開発ツール経由の攻撃面拡大、AIエージェントのメモリ注入攻撃、npmサプライチェーンワーム。管理ポートの外部公開禁止とフィッシング耐性MFAへの移行が今すぐ着手できる最初の一手だ。