攻撃者は実験段階を超え、いまや大規模に人工知能システムを体系的に標的化している。
研究者は4か月間にわたりAIインフラを狙った9万1,000件超の攻撃セッションを観測し、大規模言語モデル(LLM)デプロイメントに対する持続的かつ組織的なキャンペーンが行われていることを明らかにした。
「脅威アクターが、この規模でインフラをマッピングするのは、その地図を使う計画があるからだ」 と述べたのはGreyNoiseの研究者だ。
攻撃者はAIサービスを大規模に偵察
観測された活動は、Ollamaのデプロイメントや、アプリケーションを商用の大規模言語モデル(LLM)APIに接続するために用いられるプロキシ基盤など、AIモデルのホスティング環境とそれを支えるサービスを標的としていた。
組織が本番環境でAIシステムを展開するにつれ、これらのサービスはAPI、Webhook、またはプロキシ層を通じて公開されることが多くなり、攻撃者が設定不備を探り、悪用する新たな機会が生まれている。
SSRFベースの悪用キャンペーン
最初のキャンペーンは、サーバーサイド・リクエスト・フォージェリ(SSRF)の手法に焦点を当てていた。
攻撃者はOllamaのモデル取得(pull)機能とTwilioのWebhookパラメータを悪用し、攻撃者が管理するインフラへの外向き接続を発生させた。
攻撃者はProjectDiscoveryのOASTコールバックを用いて、標的システムからの外向きリクエストを検出し、悪用の成功を確認した。
この活動は2025年10月から2026年1月まで継続し、クリスマス期間中に顕著な急増が見られた――48時間で1,688件の攻撃セッション。
このタイミングは、監視や対応体制が手薄になり得る時期を狙った可能性を示唆している。
トラフィック分析では、セッションの99%で非常に一貫したJA4HのTLSフィンガープリントが確認され、Nucleiスキャンフレームワーク上に構築された可能性が高い、集中型の自動化を示している。
リクエストは27か国にまたがる62個のIPアドレスから発信されていたものの、フィンガープリントが一様であることから、分散ボットネットではなくVPSホスティング基盤の利用が示唆される。
GreyNoiseは、このキャンペーンをバグバウンティ研究に関連するグレーハット活動の可能性があると評価したが、規模、持続性、影響を受けた組織との調整の欠如は、倫理面および運用面の懸念を生むと指摘した。
大規模なAIモデル列挙
2つ目の、より大規模なキャンペーンは2025年12月28日に開始され、即時の悪用ではなく体系的な列挙を重視していた。
11日間で、わずか2つのIPアドレスが80,469件のセッションを生成し、70以上のLLMエンドポイントを手順的にプロービングした。
見かけ上の目的は、商用AIサービスへの不正アクセスを可能にし得る設定不備のプロキシサーバーを特定することだった。
検知を避けるため、攻撃者はhiやHow many states are there in the United States?といった意図的に低リスクなクエリを使用した――不正利用検知やコンテンツフィルタを作動させずにモデルの挙動を確認するためのフレーズである。
テストは、OpenAI GPT-4o、Anthropic Claude、Meta Llama 3.x、Google Gemini、Mistral、Alibaba Qwen、DeepSeek-R1、xAI Grokなど、主要なほぼすべてのモデルファミリーに及び、AIエコシステムをマッピングする広範かつ手順的なアプローチを浮き彫りにした。
これらのキャンペーンは総じて、AIインフラに対する体系的な偵察へと移行していることを示しており、従来のアプリケーションやAPIと同様にAIサービスを保護する必要性を強く裏付けている。
AIデプロイにおけるリスク低減
AIインフラを運用する組織は、偵察や悪用活動への露出を減らすため、次のような予防的措置を講じるべきである。
- AIサーバーが明示的に承認された宛先にのみ接続できるよう、外向きネットワークアクセスを制限し、SSRFのコールバック悪用を防止する。
- OAST関連ドメイン、特定されたIPアドレス、不審なJA4Hフィンガープリントなど、既知の悪性インジケータをブロックする。
- AIエンドポイント、プロキシ、支援サービス全体で、強固な認証・認可と最小権限のアクセス制御を徹底する。
- 自動化された列挙やフィンガープリンティング活動を妨害するため、レート制限、リクエストクォータ、行動ベースのスロットリングを適用する。
- 監視として、AIインフラのログとテレメトリを確認し、異常なクエリパターン、モデル横断のプロービング、不審な外向き接続を検出する。
- AI特有の悪用および偵察キャンペーンに備えられるよう、インシデント対応計画と検知カバレッジを見直し、テストする。
単一の対策だけでは十分ではないが、ネットワーク制限、アクセス制御、監視を組み合わせることで、被害範囲(ブラスト半径)を抑えられる。
AIシステムはいまや高価値ターゲット
これらのキャンペーンは攻撃者の関心がより広範に移行していることを反映しており、AIインフラは実験的技術ではなく高価値ターゲットとして扱われるようになっている。
数十のモデルにまたがる数万件のリクエストという活動量と一貫性は、場当たり的なスキャンではなく、意図的で潤沢なリソースを伴う取り組みを示唆している。
このレベルでAI環境をマッピングするには時間と調整が必要であり、通常は後に悪用可能な弱点を特定するための前段階である。
AIサービスが本番ワークフローにますます組み込まれるにつれ、歴史的に重要アプリケーションやクラウドインフラに向けられてきたのと同等の注目を集めている。
その結果、多くの組織が暗黙のアクセスを減らし、AI環境全体で侵害の影響を限定するために、ゼロトラストのアプローチに目を向けている。
翻訳元: https://www.esecurityplanet.com/threats/ai-deployments-targeted-in-91000-attack-sessions/
