データベースは、単なるテーブル型リポジトリの域をはるかに超えた存在へと進化してきました。しかし、SQL Server 2025に搭載された新機能は、この進化に潜む本質的な危険性を浮き彫りにしています。SpecterOpsの研究者たちは最近、重大な脆弱性を発見しました。彼らが明らかにしたのは、攻撃者が組み込みのAI機能を悪用する手口です。これにより、悪意ある者が企業ネットワークから機密データを窃取できるだけでなく、外部のコマンド&コントロール(C2)サーバーとの通信チャネルを確立できることが示されました。
外部Webリクエストの危険性
主なリスクは、SQL Server 2025に新たに導入されたネイティブツール群に起因しています。これらの機能により、システムは外部のWebアドレスやAIモデルと直接通信できるようになります。具体的には、sp_invoke_external_rest_endpointプロシージャ、CREATE EXTERNAL MODELコマンド、そしてAI_GENERATE_EMBEDDINGS関数が該当します。通常、これらの機能は開発者が高度なAIシステムを構築する際の支援を目的としています。データベースが外部モデルと連携しながらテキストエンベディングをシームレスに生成できるよう設計されており、社内ナレッジベースの活用においても重要な役割を果たしています。
しかし、まさにこれらの仕組みが、攻撃者にとって格好の送信チャネルとなっています。権限の高いSQL Serverアカウントが侵害された場合、深刻な事態を招く恐れがあります。攻撃者はデータベースに外部のHTTPSサーバーへのデータ送信を容易に強制できます。注目すべきは、このデータ窃取にサードパーティ製ツールや不審なOSコマンドは一切不要という点です。データベースサーバー自身がリクエストを自律的に実行するため、一度の通信で最大100メガバイトものデータが静かに外部へ持ち出される可能性があります。
トリガーを利用した自動データ窃取
実証されたシナリオは、この武器化されたデータベースの深刻な可能性を示すものでした。攻撃者はテーブルの全内容やローカルディスク上のファイルを外部へ送信することに成功しています。さらに、データベースの更新内容を自動的に送信するトリガーの設定も確認されました。この手法は特に危険です。テーブル全体を一度に抽出するのではなく、変更が加わるたびに新しいレコードをシームレスに転送できるためです。従来のセキュリティシステムからは、この悪意あるトラフィックが外部AIサービスと通信するSQL Serverの正規クエリとして見え、検知が困難です。
外部ONNXモデルの悪用
もう一つの懸念されるシナリオは、外部ONNXモデルに関するものです。SQL Serverでは現在、管理者がこれらのモデルのネットワークパスを指定できます。これを悪用することで、攻撃者はSMB経由のNTLM認証をシステムに強制させることが可能です。この巧妙な手口により、パスワードハッシュを傍受したり、取得した認証情報を企業ドメイン内の深部へ中継したりすることができます。この動作についてはMicrosoftに詳細なレポートが提出されましたが、同社はセキュリティ境界の侵害には該当しないとの結論を下しています。
コマンド&コントロールチャネルの確立
最も衝撃的な発見は、コマンド&コントロールインフラに関するものです。攻撃者は新しいAI機能と既存のSQL Server機能を組み合わせることで、外部の悪意あるサーバーと通信する、堅牢かつ完全に機能する通信チャネルを構築できます。一つのバリエーションでは、xp_cmdshellを通じてコマンドが実行されます。より高度なアプローチでは、SQL Serverのメモリ空間に直接ロードされた.NET CLRアセンブリが利用されます。この手法はステルス性が高く、悪意あるトラフィックが通常のAIベクター処理に見せかけて実行されます。
防御策と緩和策
これらの脅威に対抗するため、管理者はSQL Serverのすべてのアカウント権限を厳密に見直す必要があります。不要な箇所へのsysadminロールの付与は、直ちに取り消すべきです。また、セキュリティチームは特定のデータベース活動を積極的に監視しなければなりません。sp_invoke_external_rest_endpointの有効化や外部モデルの作成を追跡することが求められます。同様に、xp_cmdshellの実行、SQL Server Agentジョブの割り当て、CLRアセンブリのロードの監視も欠かせません。標準のSQL Serverログでは、こうした活動を把握するのに必要な可視性が不足していることが多いです。そのため、管理者は実際のクエリテキストをキャプチャするための包括的な監査または拡張イベントを設定しなければなりません。
別の予防措置として、組織はデータベースサーバーから未知のアドレスへの送信HTTPS接続を完全にブロックすべきです。AI機能が本当に必要な場合は、モデルを社内でホストすることを検討してください。セキュリティチームはすべての外部ネットワークトラフィックを厳格に制限する必要があります。そうしなければ、「データベースが突然インターネットにアクセスする」という典型的な侵害の指標が、いつの間にか当たり前のこととして見なされるようになります。その結果、悪意ある悪用と正規のAI操作を区別することが、ますます困難になっていくでしょう。
SQL Server 2025の事例は、業界全体が抱える、より広範な問題を浮き彫りにしています。AI機能を企業製品に統合することで、開発者の能力は飛躍的に向上します。しかし同時に、攻撃者に強力な新しいツールを与えることにもなります。データベースが外部サービスと通信するネイティブな手段を獲得した今、防御戦略も進化しなければなりません。もはやネットワーク接続を監視するだけでは不十分です。セキュリティチームはクエリの内容、ユーザーロール、そして内部システムアクション全体の流れを細かく精査していく必要があります。
翻訳元: https://meterpreter.org/sql-server-2025-ai/
