脅威アクターは、商用の大規模言語モデル(LLM)サービスへのアクセスを提供し得る、設定不備のプロキシサーバーを組織的に探し回っている。
12月下旬に始まった継続中のキャンペーンで、攻撃者は73以上のLLMエンドポイントをプローブし、8万件を超えるセッションを生成した。
脅威監視プラットフォームGreyNoiseによると、脅威アクターはセキュリティアラートを発生させずにアクセス先のAIモデルを特定しようとして、低ノイズのプロンプトでエンドポイントに問い合わせている。
グレーハットの活動
GreyNoiseはレポートで、過去4か月の間に同社のOllamaハニーポットが、2つの異なるキャンペーンの一部である攻撃を合計91,403件捕捉したと述べている。
1つの活動は10月に開始され、現在も継続中で、クリスマス前後の48時間で1,688セッションの急増が見られた。これは、サーバー側リクエストフォージェリ(SSRF)の脆弱性を悪用し、攻撃者がサーバーに攻撃者管理下の外部インフラへ接続させることを可能にする。
研究者によると、この活動の背後にいる攻撃者は、Ollamaのモデル取得(pull)機能を利用して悪意のあるレジストリURLを注入し、MediaURLパラメータを通じてTwilioのSMS Webhook連携を注入することで目的を達成した。
しかしGreyNoiseは、使用されたツールに基づき、この活動はセキュリティ研究者またはバグバウンティハンターに由来する可能性が高いと指摘している。というのも、脆弱性評価で一般的に用いられるProjectDiscoveryのOAST(Out-of-band Application Security Testing)インフラが使用されていたためだ。
「OASTコールバックは標準的な脆弱性研究手法だ。しかし、その規模とクリスマスというタイミングは、境界を押し広げるグレーハットの活動を示唆している」 – GreyNoise
テレメトリデータにより、このキャンペーンは27か国にまたがる62のIPアドレスから発生しており、ボットネット運用の兆候というよりVPSのような特性を示していることが明らかになった。
出典: GreyNoise
脅威アクターの活動
GreyNoiseは、12月28日に開始された第2のキャンペーンを観測し、露出している、または設定不備のLLMエンドポイントを特定するための大量の列挙(enumeration)活動を検知した。
11日間で、この活動は80,469セッションを生成し、2つのIPアドレスがOpenAI互換およびGoogle Gemini API形式の両方を用いて、73を超えるモデルエンドポイントを体系的にプローブした。
標的となったモデルの一覧には、以下を含む主要プロバイダー各社のものが含まれていた:
- OpenAI(GPT-4oおよび派生)
- Anthropic(Claude Sonnet、Opus、Haiku)
- Meta(Llama 3.x)
- DeepSeek(DeepSeek-R1)
- Google(Gemini)
- Mistral
- Alibaba(Qwen)
- xAI(Grok)
LLMサービスへのアクセスをテストする際にセキュリティアラートを回避するため、攻撃者は短い挨拶、空入力、事実関係の質問といった無害な問い合わせを使用した。
GreyNoiseによれば、このスキャン基盤は過去に広範な脆弱性悪用活動と関連付けられており、この列挙はアクセス可能なLLMサービスをカタログ化するための組織的な偵察活動の一部であることを示唆している。
GreyNoiseのレポートは、発見後の悪用、データ窃取、モデルの不正利用が観測されたとは主張していないが、それでもこの活動は悪意ある意図を示すものだ。
研究者らは「8万件の列挙リクエストは投資を意味する」と警告し、「脅威アクターは、その地図を使う計画なしに、この規模でインフラをマッピングしない」と付け加えた。
この活動に対抗するため、Ollamaのモデル取得(pull)を信頼できるレジストリに制限し、エグレスフィルタリングを適用し、既知のOASTコールバックドメインをDNSレベルでブロックすることが推奨される。
列挙への対策には、疑わしいASNのレート制限や、自動スキャンツールに関連付けられたJA4ネットワークフィンガープリントの監視が含まれる。
