セキュリティ研究者は、人工知能インフラを標的とした協調攻撃の急増を記録しており、2025年10月から2026年1月の間に91,000件を超える悪意あるセッションが記録されました。
分析により、AI導入の拡大に伴って広がる攻撃対象領域を体系的に悪用する2つの異なる脅威キャンペーンが明らかになりました。内容は、サーバーサイド・リクエスト・フォージェリの脆弱性から、大規模言語モデルのエンドポイントに対する綿密な偵察まで多岐にわたります。
GreyNoiseのハニーポット基盤がデータを捕捉し、脅威インテリジェンスの顧客には、侵害指標と実行可能な防御戦略を含むエグゼクティブ・シチュエーション・レポート(SITREP)を通じて通知されました。
最初のキャンペーンは、サーバーサイド・リクエスト・フォージェリ(SSRF)の脆弱性を悪用しました。これは、サーバーを操作して攻撃者が管理するインフラへ不正な外向き接続を行わせる手法です。
この作戦は、Ollamaのモデル取得(pull)機能とTwilioのSMS Webhook連携という2つの主要ベクトルを標的にしました。
攻撃者は、Ollamaの導入環境に悪意あるレジストリURLを注入して、敵対的インフラへのHTTPリクエストを強制し、同時にTwilio連携のMediaUrlパラメータを操作して不要な外向き接続を発生させました。
このキャンペーンはクリスマス期間にピークを迎え、48時間で1,688件のセッションを生成しました。
攻撃インフラの分析では、27か国にまたがる62の送信元IPに共通したフィンガープリントが確認され、従来型のボットネットではなくVPSベースのツール群であることが示されました。
コールバック検証にProjectDiscoveryのOAST(Out-of-band Application Security Testing)インフラが主に用いられていた点は、通常セキュリティ研究者に関連付けられる手法であり、これらの作戦がグレーハットのアクター、または大規模に活動するバグバウンティ・ハンターを含む可能性を示唆しています。
より懸念されるのは、2025年12月28日に開始され、73以上のLLMモデルエンドポイントを標的とした第2のキャンペーンです。
2つのIPアドレスが11日間で80,469件のセッションを統括し、商用AI APIへのアクセスが露出する可能性のある設定不備のプロキシサーバーに対して体系的な偵察を実施しました。
攻撃は、主要なモデルファミリー全体(GPT-4o、Claude、Llama、DeepSeek、Gemini、Mistral、Qwen、Grok)にわたり、OpenAI互換形式とGoogle Gemini API形式の両方をテストしました。
プローブは「米国には州がいくつありますか?」のような無害な問い合わせや、標準的なフィンガープリンティング手法を用いて、セキュリティアラートを誘発せずに応答するモデルを特定しました。
インフラ分析により、このキャンペーンはCVE悪用の履歴が豊富な2つの専用IPに追跡され、センサーへのヒット数は400万回を超えました。
オペレーターは実証されたとおり高い専門能力を備えており、攻撃パターンは、より大規模な悪用パイプラインへとつながる偵察活動と整合していました。
組織は、モデル取得(pull)に対する厳格な制限を実装し、SSRFコールバックを防ぐためのエグレスフィルタリングを設定し、疑わしいASNに対するレート制限を導入すべきです。
OASTコールバックドメインのDNSブロッキングと、複数エンドポイントに対する高速なプロービングクエリのアラートは、進行中の脅威に対する即時の検知メカニズムを提供します。
翻訳元: https://cyberpress.org/hackers-actively-exploit-ai-deployments/