AIゲートウェイの侵害でAmazon Bedrockインフラが暗号資産マイニングに悪用される

Amazon Bedrockに接続された侵害済みAIゲートウェイが、暗号資産マイニングインフラと通信していたことが判明しました。この事例は、生成AIインフラが企業の新たな攻撃対象領域として浮上していることを浮き彫りにしています。

Darktraceが調査し、同社のManaged Threat Detectionサービスを通じてエスカレーションされたこのインシデントでは、攻撃者がAI対応クラウド資産を不正な暗号資産マイニングに転用していた実態が明らかになりました。

AIゲートウェイは、ユーザー、アプリケーション、基盤モデルの間に位置し、AIワークロードにおける認証、ルーティング、ポリシー適用を一元的に担っています。

こうした中心的な役割ゆえに、AIゲートウェイには特権的なIAM権限が付与されているケースが多く、侵害されたゲートウェイは攻撃者にとって格好の足がかりとなります。単なるコンピューティングリソースの悪用にとどまらず、クラウドID、モデルサービス、機密性の高いプロンプトへのアクセスにもつながりかねません。

2026年6月12日、Darktraceは「LiteLLM-Proxy」という名称のAWS EC2インスタンスから不審な活動を検知しました。このインスタンスにはAmazon Bedrockリソースへのアクセスを許可するインスタンスプロファイルが設定されていました。

公表されているLiteLLMの脆弱性との明確な関連性は確認されていないものの、このインスタンスが担う役割と権限が、攻撃者にとって魅力的な標的となっていました。

調査の結果、複数段階にわたる侵害の実態が明らかになりました。

初期侵入経路を正確に裏付けるホストレベルのログは確認されていませんが、SSHの公開状態、ブルートフォース攻撃の試み、そして迅速なマルウェア展開という複数の状況証拠が重なっていることから、SSHが侵入経路であった可能性が高いと考えられます。

Darktraceは、IAMの異常とLiteLLMの侵害との間に確定的な関連は見られなかったとしていますが、両者のタイミングが一致している点はさらなる精査に値すると指摘しています。

暗号資産マイニングは、クラウド侵害後によく見られる日和見的な結果ですが、今回の事例が重要なのはその発生場所です。クラウドインフラ、ID管理、AI運用が交差する資産で発生したという点に意味があります。

最近の調査では、LiteLLMのようなAIゲートウェイは認証情報や権限を集約する性質から高価値の標的として指摘されています。ただし、Darktraceは今回のインシデントとLiteLLMの公表済み脆弱性とを直接結びつける証拠は見つかっていないとしています。

このインシデントは、AIインフラを独立した技術レイヤーとして扱うことはできないという点を改めて示しています。AIインフラは、公開されたサービスや脆弱な認証情報、設定ミスといった、特権を持つあらゆるクラウド資産と同様のリスクを抱えている一方で、モデルアクセスやIAM権限をめぐる新たなリスクも生み出しています。

今回、侵害の全容が把握される前に振る舞い分析がその発見に決定的な役割を果たしたことは、防御側にとって重要な教訓となります。個別のアラートに頼るのではなく、AI対応環境全体でワークロードとコントロールプレーンのテレメトリを相関分析する必要性を改めて浮き彫りにしています。

翻訳元: https://cyberpress.org/ai-gateway-amazon-bedrock-cryptomining/

ソース: cyberpress.org