出典: Age Foto Stock(Alamy Stock Photo 経由)
新たなバックドアが、侵害された環境内で悪意ある活動を秘匿的に管理するためのコマンド&コントロール(C2)通信に OpenAI の API を利用しており、攻撃者が生成 AI サービスやツールを悪用する新たな手口を示している。
Microsoft の Detection and Response Team(DART)の研究者らは、脅威アクターが数カ月にわたり環境内に潜伏していたインシデントに対応した 7 月、Microsoft Incident Response が月曜日に公開したブログ投稿によると、「SesameOp」と名付けられたバックドアを発見した。
この秘匿型バックドアは、脅威アクターが永続性を維持し、侵害されたデバイスを管理できるように設計されており、投稿によれば「スパイ活動を目的とした長期的な永続性を狙うという、この攻撃の目的と整合している」という。
しかし SesameOp の特異な点は、OpenAI Assistants API をストレージまたはリレーの仕組みとして利用し、コマンドを取得してマルウェアが実行するコンポーネントを備えていることだ。この API は、Azure OpenAI モデルを用いてカスタム AI アシスタントを作成できる開発者向けツールであり、会話管理やタスク自動化といった機能を可能にする。
「我々の調査により、脅威アクターが OpenAI Assistants API をバックドア・インプラントに統合し、専用のインフラを構築することなく、正規サービスを利用して秘匿的な C2 チャネルを確立していたことが明らかになった」と投稿は述べている。
関連記事:GlassWorm が再登場、VS Code 拡張機能に再び侵入
攻撃者はまた、C2 通信を保護・難読化するために API の利用において他の「高度なテクニック」も用いていた。これには、ペイロードを圧縮してサイズを最小化することや、コマンドデータおよび持ち出された結果を保護するために、階層化された共通鍵暗号と公開鍵暗号の両方の暗号化を使用することが含まれる。
Loading...
OpenAI API の意図的な悪用
Microsoft の研究者らは、ブログ投稿の中でこの攻撃と OpenAI の悪用について詳細な分析を提供している。DART が 7 月のインシデントに対応した後の調査では、投稿によると、永続的かつ戦略的に配置された悪意あるプロセスから中継されるコマンドを実行する役割を持つ「複雑に構成された内部 Web シェル群」が存在することが判明した。
これらのプロセスは、悪意あるライブラリを埋め込まれて侵害された複数のMicrosoft Visual Studio(VS)ユーティリティを悪用しており、投稿によれば、これは「.NET AppDomainManager インジェクション」として知られる防御回避手法である。
攻撃者が、異常なライブラリを読み込んでいる他の VS ユーティリティを探索していた際、SesameOps を含む、内部 Web シェル構造との外部通信を可能にする追加ファイルを発見した。投稿によると、このバックドアの全体的な感染チェーンは、ローダー(Netapi64.dll)と、OpenAI を C2 チャネルとして活用する .NET ベースのバックドア(OpenAIAgent.Netapi64)で構成されている。
関連記事:ClickFix キャンペーン、ホテルを標的に二次的な顧客攻撃を誘発
「このダイナミックリンクライブラリ(DLL)は Eazfuscator.NET によって高度に難読化されており、OpenAI Assistants API を用いたステルス性、永続性、そして安全な通信のために設計されている」と投稿は述べている。「Netapi64.dll は、ホスト実行ファイルに付随するカスタム .config ファイルの指示に従い、.NET AppDomainManager インジェクションを通じて、実行時にホスト実行ファイルへ読み込まれる。」
開示と緩和策
Microsoft の DART は、調査結果を OpenAI に通知し、両社は API のこの悪用について共同で調査を行った。その結果、これはツール自体の脆弱性や設定ミスを意味するものではなく、「OpenAI Assistants API に備わる機能を悪用する一手段」であることが判明した。この API 自体は 2026 年 8 月に段階的に廃止される予定だと投稿は述べている。
OpenAI はその後、SesameOps の一部として脅威アクターが使用していたとみられる API キーと関連アカウントを特定し、無効化した。「調査により、そのアカウントは限定的な API コール以外には、いかなる OpenAI モデルやサービスともやり取りしていなかったことが確認された」と Microsoft Incident Response は述べている。
関連記事:SonicWall ファイアウォールのバックアップが国家主体の攻撃者に窃取される
Microsoft と OpenAI は、脅威アクターが新興テクノロジーをどのように悪用しているかをより深く理解し、こうした試みを妨害するために、今後も協力を続けるとしている。実際、API は生成 AI サービスやアプリケーションにとって王国の鍵となり得るものであり、攻撃者はこの技術の登場以来、API を悪用し乱用することに素早く適応してきた。
一方で Microsoft Incident Response は、防御側に向けていくつかの緩和策を提示し、組織はファイアウォールや Web サーバーログを頻繁に監査・レビューし、インターネットに直接公開されているすべてのシステムを把握しておくべきだと推奨している。
また、可能な限りエンドポイント間での C2 サーバー通信を遮断するために、ローカルファイアウォール、侵入防止システム、およびネットワークファイアウォールを使用すべきである。「このアプローチは、ラテラルムーブメントやその他の悪意ある活動の緩和に役立つ」と投稿は述べている。
さらに防御側は、サービスへの不正アクセスを制限するため、標準外ポート経由の接続を含め、境界ファイアウォールおよびプロキシ設定を見直し、適切に構成すべきだと Microsoft はしている。
著者について
Elizabeth Montalbano は、25 年以上のプロ経験を持つフリーライター/ジャーナリスト/セラピューティック・ライティング・メンターである。専門分野はテクノロジー、ビジネス、カルチャー。これまでフェニックス、サンフランシスコ、ニューヨーク市でフルタイムのジャーナリストとして生活・勤務し、現在はポルトガル南西海岸の村に在住している。余暇には、サーフィン、愛犬とのハイキング、旅行、音楽演奏、ヨガ、料理を楽しんでいる。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/sesameop-backdoor-openai-api-covert-c2
