Microsoft SQL Server 2025に新たに搭載されたAI機能は、Retrieval-Augmented Generation(RAG)パイプラインを支えるために設計されたものですが、データ窃取や隠密なコマンド&コントロール(C2)通信のための実用的な攻撃面となることが実証されました。
2025年11月にリリースされたSQL Server 2025には、AI指向の機能が導入されており、研究者たちはこれらを攻撃的な操作に悪用できることを示しました。
最も重要な追加機能の一つがsp_invoke_external_rest_endpointです。これは、最大100MBのペイロードで任意の外部エンドポイントへのネイティブHTTPSリクエストを可能にする新しいストアドプロシージャです。
もう一つの主要機能であるCREATE EXTERNAL MODELは、攻撃者が制御するエンドポイントを含む外部AIエンベディングモデルを、データベースエンジン内で直接定義することを可能にします。
これを補完するのがAI_GENERATE_EMBEDDINGSで、文字列データを定義されたモデルエンドポイントに送信してJSONベクター配列を返す機能を持ち、隠密なデータ転送チャネルとして機能します。
sp_invoke_external_rest_endpointの100MBというペイロード上限は、特に重要な意味を持ちます。
攻撃者はデータベーステーブル全体をJSONとしてシリアライズし、攻撃者が制御するHTTPSサーバーへ直接POSTすることができます。これはxp_cmdshellやPowerShellのInvoke-WebRequestを使った従来の窃取手法に比べ、はるかにステルス性の高い手段です。
研究者は複数の異なるデータ窃取手法を実証しました。第一の手法は、FOR JSON AUTOペイロードを用いたsp_invoke_external_rest_endpointによる認証情報テーブルのダンプです。
第二の手法は、OPENROWSET(BULK ...)を通じたファイルシステムへのアクセスに拡張されており、設定ファイルや認証情報ストアといった任意のファイルの窃取を可能にします。
第三の手法は、テーブルが更新されるたびに新たに挿入された認証情報を攻撃者のサーバーへ自動的に送信するデータベーストリガーの設置です。これにより、繰り返しの操作を必要としない持続的かつ低ノイズの情報収集機構が実現されます。
さらに、CREATE EXTERNAL MODEL機能はUNCパス経由のローカルホスト型ONNXモデルをサポートしており、研究者はこれを利用してNTLM SMB認証を強制し、ドメインインフラに対するハッシュキャプチャやリレー攻撃を可能にしました。
Microsoftは2026年4月20日に提出されたレポートを審査しましたが、2026年5月12日に、この動作がセキュリティ対応の基準を満たさないと判断しました。つまり、この攻撃手法は現在も悪用可能な状態にあります。
特筆すべき点として、研究者はT-SQLと.NET CLRアセンブリだけで動作する機能的なC2インプラントを構築し、ビーコントラフィックをAI_GENERATE_EMBEDDINGS経由でルーティングすることに成功しました。
Specteropsによると、コマンドはXORで暗号化され、正規のエンベディングモデルトラフィックに見せかけた合成ベクター配列としてエンコードされ、サーバー側でデコードされるとのことです。
このインプラントはcontext connection=trueを使用してプロセス内SQLセッションを再利用することで、エージェントプロセス自体からの新規ネットワーク接続の作成を回避します。
生成されるトラフィックは、訓練を受けていないアナリストには正規のAIモデルテレメトリーと見分けがつきません。
セキュリティチームは直ちに、すべてのSQL Serverデータベースログインを監査し、アプリケーションサービスアカウントから不要なsysadmin権限を削除してください。過剰な権限を持つアカウントは、依然として最も一般的な初期侵入経路となっています。
SQL AuditまたはExtended Eventsを使用して、CREATE EXTERNAL MODELステートメント、sp_invoke_external_rest_endpointの有効化、およびCLRアセンブリのデプロイに対するアラートを設定してください。ネイティブのSQL Serverログは、カスタムインストルメンテーションなしではこれらのアクションを確実に記録しないためです。
ネットワーク層では、ファイアウォールまたはプロキシレベルでSQL ServerホストからインターネットへのHTTPS送信トラフィックを直接ブロックすることが有効です。特にAIモデルを内部でホストしている組織では、これによりほとんどの窃取試みを阻止できます。
最後に、セキュリティ運用チームは正規のエンベディングモデルトラフィックのベースラインを確立し、アナリストが異常を検出できるよう訓練する必要があります。AI化された送信トラフィックの普及は、データベースからの外部Webトラフィックを自動的に危険信号として扱うという数十年来の原則を根本的に崩しつつあるためです。
翻訳元: https://cyberpress.org/sql-server-2025-ai-features/
