脅威アクターが、組織の保有するAIエージェントを悪用して高度な攻撃活動を展開しようとしています。
3月から5月にかけて、Zenityの研究者は3つの異なるキャンペーンを観測しました。これらはハニーポットの大規模言語モデル(LLM)インフラを攻撃的なAIオペレーションのリソースとして悪用するもので、OllamaおよびLiteLLMのエンドポイントが標的となりました。この攻撃手法の特筆すべき点は、システムを完全に侵害する必要がなく、公開されたエンドポイントの所在を把握しているだけで実行できることです。
Zenityのブログ記事によると、攻撃者が悪用するのは「セルフホスト型AIソフトウェアがアプリケーションの呼び出し用に公開している推論エンドポイント」とのことです。攻撃者は特別な認証情報を必要とせず、エンドポイントの場所さえ知っていれば攻撃が可能です。具体的な例としては、Ollamaのポート11434上の/api/generateおよび/api/chatエンドポイント、そしてLiteLLMのポート4000上の/v1/responsesエンドポイントなどが挙げられます。
AIインフラを悪用する3つの攻撃者
3つの攻撃者グループは、それぞれ異なる目的でこのツールを利用していました。そのうち2つは自律型ペネトレーションテストフレームワーク(StrixおよびHexStrike AI)で、残る1つは「安全フィルタの回避を目的としたペルソナを備え、Webのリバースエンジニアリング作業を支援するOpenAI Codexエージェント」でした。
「この手法にはソフトウェアの脆弱性を突く必要がありません。攻撃者は単に、エージェントまたはクライアント(LiteLLMクライアント、CherryStudioデスクトップアプリ、Codex CLIなど)が公開エンドポイントをモデルバックエンドとして使用するよう設定するだけです」と、Zenityの研究者は述べています。「エージェントの『頭脳』はリクエストボディにすべて含まれています。システムプロンプトのペルソナとツール定義です。これがまさに私たちのセンサーが検知したものです。攻撃者はまず小さな『ハロー』プローブを送信してエンドポイントが応答することを確認し、その後フルペイロードを送り込む手順を踏みます」
Strixを使った攻撃者は、単一のIPアドレスからLiteLLMクライアントを使用して14万文字のプロンプトを送信し、身元不明のフランスのオークションハウスに対してStrixを兵器化しようとしました。注目すべきは、そのプロンプトがエージェントに対して「許可を求めるな」「休まず動き続けろ」「エージェントの行動の中で『Strix』や識別可能な名称・マーカーを一切使うな」、そして「すべてのターゲットに対して全力で攻撃せよ」と指示していたことです。Zenityのセンサーがこの試みを検知して阻止しましたが、繰り返し送られる「リトライ」コマンドの存在から、リアルタイムで操作する人物が背後にいた可能性が示唆されています。
HexStrike AIの攻撃者は、デスクトップ型LLMクライアントをハニーポットのOllamaインスタンスに向け、150種類以上の攻撃ツールセットを持つペネトレーションテスト管理サービスを送り込みました。この試みでは攻撃対象が特定されておらず、攻撃者が実行前の準備段階にあったと考えられます。
3番目のIPアドレスからは、OpenAI CodexエージェントをハニーポットのLiteLLMプロキシに向け、セキュリティ監査者というペルソナのもとでWebのリバースエンジニアリング作業を実行させようとしました。
こうした攻撃を可能にする要因の一つが、OllamaとLiteLLMの認証方式にあります。Zenityによると、Ollamaはデフォルトポート(前述のポート11434)において組み込みの認証機能を持たず、LiteLLMの認証はマスターキーをユーザーが設定した場合のみ有効になるオプトイン方式です。また、攻撃者が標的にすることで知られている共通のプレースホルダーキー(sk-1234)も存在します。
さらに、公開状態の問題もあります。Ollamaはデフォルトではローカルホストに限定されていますが、全インターフェースに公開される設定ミスが多く見られます。LiteLLMのプロキシは、デフォルトでパブリックホスト上にインターネット向けに公開された状態になっています。
AIインフラの公開がもたらすリスク
ZenityのCTO兼共同創設者であるMichael Bargury氏はDark Readingに対し、AIのフットプリントに関する責任の所在については、基本的に顧客側が自身のAI環境を管理すると述べました。ただし、問題はそれほど単純ではないとも語っています。
「顧客がAIプラットフォーム、クラウドインフラ、サードパーティおよび独自開発のエージェントを活用することで、新たな攻撃対象領域が生まれます。顧客は自分たちが構築・展開したものに責任を持つ必要があります」と同氏は言います。「しかし、ベンダーもプラットフォームのセキュリティ確保と可視性の観点で責任があります。ベンダーはセキュアなデフォルト設定を提供し、顧客がランタイムを検査・制御できる手段を用意することで、顧客自身がセキュリティ上の成果を管理できるようにすべきです」
こうした攻撃から組織を守るため、Zenityは以下の対策を推奨しています。まず、よく悪用されるエンドポイントからのリクエスト、特に通常のプロンプトではなくフルエージェントのペイロードを含むリクエストを監視すること。次に、ツール一式を含むプロンプトや、自分たちがホストしていないモデルへのリクエストなど、リクエストボディに見られる共通の指標をブロックすること。ペネトレーションテストツールや安全でないペルソナに関連するリクエストをブロックすること。そして、攻撃者が使用するIPアドレスをブロックすることです。
より広範な推奨事項としては、可能な限りモデルバックエンドをインターネットに公開しないこと、適切な認証を必須にしてデフォルトまたはプレースホルダーキーを拒否すること、外部からのリクエストボディを検査すること、そしてAIインフラへのトラフィックを継続的に監視することが挙げられます。
CISOへのメッセージとしてBargury氏が強調するのは、攻撃者がAIエージェントの知識を急速に高め、組織を狙う新たな手口を次々と見つけているという点です。
「攻撃者はAIインフラを積極的に探し出して乗っ取り、あなたのトークンを使って自分たちの目的を達成しようとしています」と同氏は警告します。「インターネット上に公開したAIシステムは、数時間以内にAIを熟知した悪意ある攻撃者の標的になると考えてください」
翻訳元: https://www.darkreading.com/cloud-security/attackers-hijack-exposed-ai-endpoints-power-offensive-ops
