基盤モデルへのアクセスを管理するためにAIゲートウェイを導入する組織が増える中、その動きはあらゆる兆候から見て、AIゲートウェイがセキュリティ担当者にとって新たな防御対象領域になりつつあることを示しています。
Darktraceの研究者は最近、脅威アクターがAmazon Bedrockサービスに接続されたAIゲートウェイをホストするEC2サーバーへの侵入に成功したインシデントを調査しました。攻撃者はこのアクセス権をクリプトマイニングに利用しましたが、同じ手口を使えばAIゲートウェイを悪用して接続先のモデルやデータにアクセスしたり、AIワークフローを操作したり、あるいは名前が公表されていないこの組織のクラウド環境のさらに深部へと侵入を広げたりすることも十分可能でした。そうなっていれば、はるかに深刻な侵害に発展していたはずです。
氷山の一角にすぎないのか
「今回のインシデントは氷山の一角として捉えるべきです」と、Darktraceでバイスプレジデント兼セキュリティ・AI戦略担当、フィールドCISOを務めるNathaniel Jones氏は警告します。「AIゲートウェイは、アイデンティティ、クラウドインフラ、独自データ、そして複数の基盤モデルへのアクセスが交差する要衝にますます位置するようになっています」
組織がAIゲートウェイを通じてAIへのアクセスを一元化するにつれ、AIゲートウェイは攻撃者にとって魅力的な集約ポイントになっていくと見られます。「今回のケースではペイロードがクリプトマイニングだったかもしれませんが、この初期侵入の手法自体は、まったく異なる目的を持つより高度な攻撃者にも再利用され得るものです」とJones氏は述べ、認証情報の窃取やデータへのアクセス、クラウド内での持続的な足場確保などの可能性を挙げています。
アプリケーションやワークフローへのAI導入を急ぐ組織にとって、今回のインシデントは、環境に加わる新たなAIコンポーネントの一つひとつが攻撃対象領域を拡大しかねないことを改めて示す事例となりました。そのリスクには、モデルポイズニングやプロンプトインジェクションといったAIモデル自体に起因するリスク、Model Context Protocol(MCP)サーバーやAIゲートウェイなどAIインフラに存在する脆弱性や弱点、さらにはコーディングエージェントの安全性を欠いた利用や、より広くエージェント型AI全般に関するリスクが含まれます。
Darktraceが今回のAIゲートウェイに関わるインシデントを発見したのは、複数のプロバイダーが提供するAIモデルをAPI経由で利用できるAWSのマネージドサービスAmazon Bedrockに接続され、外部からアクセス可能な状態になっていたAWS EC2インスタンスにおいて、クリプトマイニングと一致する挙動を調査していたときのことでした。組織はこのサービスを利用することで、基盤となるインフラを自ら管理することなく生成AIアプリケーションを構築できます。
Darktraceは断定には至らなかったとしていますが、攻撃者はブルートフォース(総当たり)によるログイン試行を通じてEC2サーバーへの初期アクセスを得たとみられます。その後、脅威アクターは侵害したシステムにクリプトマイニングソフトウェアXMRigをダウンロードし、数分後にはマイニングプールへ接続しました。Darktraceの調査により、侵害されたこのシステムはAIゲートウェイとして機能しており、企業内のはるかに広範な資産やデータへのアクセス権を持っていた可能性が高いことが明らかになりました。
「ミニ版のサプライチェーンと考えるべき」
「ゲートウェイに付与されていた権限次第では、攻撃者は機密性の高いプロンプトやモデルの出力結果にアクセスしたり、APIキーやシークレット、クラウドの認証情報を窃取したり、あるいは検索拡張生成(RAG)を通じて接続されている独自のナレッジベースに問い合わせたりすることもできたはずです」とJones氏は言います。さらに、「アタッチされた[アイデンティティ・アクセス管理、IAM]ロールを足がかりにより広範なAWSリソースへ侵入を広げたり、AI推論サービスの悪用によって甚大な金銭的損害をもたらしたり、クラウド環境内に持続的な足場を確立したりすることも可能だったでしょう」
ここで重要なのは、実際に何が起きたかではなく、攻撃者がAIゲートウェイの悪用に踏み切っていた場合に何が起こり得たかという点です。「クリプトマイニングは目立ちやすく比較的検知しやすい一方、認証情報の窃取やクラウド内での持続的な足場確保は、はるかに深刻な結果につながっていたはずです」
Jones氏によれば、AIゲートウェイが脅威アクターにとって魅力的な標的となるのは、従来は別々のシステムに分かれていた機能を集約していることが多いためです。例えば、複数のAIプロバイダーへの一元的なアクセス、価値の高いAPI認証情報、企業のアイデンティティ基盤との統合、社内文書や企業ナレッジへのアクセス、そして開発ツールやデータベース、SaaS(Software-as-a-Service)プラットフォームとの接続性などを兼ね備えているのが典型例です。「一つのゲートウェイを侵害するだけで、下流にある複数のシステムそれぞれを個別に攻略する必要なくアクセスを得られる可能性があります。いわばミニ版のサプライチェーンと考えるべきでしょう」
AIゲートウェイを導入する際、組織は過度に広範なIAM権限を付与したり、管理インターフェースをインターネットに公開したりしないよう注意すべきだと、Jones氏は助言します。また同氏は、長期間有効な認証情報ではなく短命なAPIキーを使用すること、AIインフラと本番環境の分離、AI特有の管理操作やプロンプトの活動状況の監視、そしてAIゲートウェイを特権を持つクラウド資産として扱うことを推奨しています。
「追加の管理策を導入する必要性を裏付ける事例は、すでに当社の顧客基盤全体で観測されています」とJones氏は言います。「最も多く見られるリスクは、必ずしもモデルの侵害や高度なAI攻撃ではありません。一見まったく正当に見えるやり取りを通じて、従業員や事業部門が機密情報を漏らしてしまうケースなのです」
翻訳元: https://www.darkreading.com/cyber-risk/ai-gateways-keys-kingdom